2026年4月18日、イーサリアムの流動性リステーキングプロトコルであるKelpDAO(ケルプ)において、約463億円相当(11.65万rsETH)の資産が流出する大規模なハッキング事件が発生しました。この事件の影響は単一のプロトコルにとどまらず、レンディング最大手のAave(アーベ)をはじめとする分散型金融(DeFi)全体に波及しています。本稿では、技術的な発生原因と、レンディング市場で生じている深刻な二次被害について解説します。
インフラのセキュリティ設定を突いた高度な攻撃手法
今回のハッキングは、KelpDAOがマルチチェーン対応のために採用していたブリッジインフラ「LayerZero(レイヤーゼロ)v2」の脆弱性を突いたものでした。LayerZeroでは、クロスチェーンメッセージの正当性を検証するためにDVN(Decentralized Verifier Network:分散型検証ネットワーク)という仕組みを利用していますが、このDVNが参照していたRPC(ノード接続用インターフェース)のセキュリティ漏洩が直接の原因とされています。
ハッカーは、本来は不正であるはずのクロスチェーンメッセージをDVNに承認させることで、裏付け資産のないrsETHを生成・流出させました。背景には、プロジェクト側のセキュリティコスト軽視という問題も指摘されています。LayerZero v2では検証の厳格さをプロジェクト側で設定可能ですが、KelpDAOはデフォルトの「1DVN」による確認のみを採用していました。これに対し、Tether社(USDT)やEther.fi(イーサファイ)といった他の大手プロジェクトは2〜3のDVNを設定しており、KelpDAOの構成が攻撃に対して脆弱であった可能性が浮き彫りとなっています。
Aaveを襲った「借り逃げ」による流動性危機
ハッカーは盗み出した巨額のrsETHを効率よく資金洗浄するため、レンディングプロトコルのAaveを利用しました。具体的には、盗んだrsETHを担保として入金し、それを元手に時価の約8割に相当するETHを限界まで借り入れる「借り逃げ」の手法を実行しました。
この結果、AaveのイーサリアムメインネットおよびArbitrum(アービトラム)上のETH借入率は100%に達し、通常の貸し手が資産を引き出せない「取り付け騒ぎ」に近い状態に陥っています。また、担保となっていたrsETHの価値が事実上消失したことで、AaveやCompound(コンパウンド)には計368.6億円相当の不良債権が発生したと見られています。さらに、Aaveでレバレッジ運用を行っていたLido Earn(ライド・アーン)の利用者など、直接KelpDAOを利用していないユーザーにも被害が拡大する事態となりました。
ガバナンスによる緊急対応と責任の所在
事態を受けて、イーサリアムのレイヤー2ソリューションであるArbitrumは、セキュリティカウンシル(緊急対応委員会)による決議を経て、ハッカーが保有していた約3万ETH(約111.3億円相当)を強制的に凍結する措置を講じました。これは法執行機関からの情報提供に基づいた対応であり、ガバナンスによる介入としては異例の規模となります。
一方で、責任の所在を巡る議論も続いています。LayerZero側は、DVNの分散化(マルチDVN構成)を推奨していたにもかかわらずKelpDAOがシングル構成を継続したと主張しています。対してKelpDAO側は、LayerZeroのデフォルト設定の妥当性を問題視しています。プロジェクト側の資金調達額やガバナンストークンの時価総額が被害額を大きく下回っていることから、損失の完全な補填には時間がかかることが予想されます。
ポイント
- KelpDAOから463億円相当のrsETHが流出し、2026年で最大規模のハッキング被害となりました。
- LayerZero v2の検証ノード(DVN)におけるセキュリティ漏洩が原因であり、プロジェクト側の設定ミスも指摘されています。
- 盗まれた資産がAaveでのETH借入に悪用されたことで、レンディング市場に巨額の不良債権と流動性不足が発生しました。
- Arbitrumのガバナンスが介入し、ハッカーの資産約111.3億円分を強制凍結する緊急措置が取られました。
- 複数のプロトコルが組み合わさるDeFiの特性上、一つの脆弱性がエコシステム全体に波及するリスクが改めて浮き彫りとなりました。