執筆者:シャオビン
4月18日17時35分(UTC)、Tornado Cashでクリーニングされたウォレットが、LayerZeroのEndpointV2コントラクトにクロスチェーンメッセージを送信しました。
メッセージの意味は単純です。特定のチェーン上のユーザーがrsETHをイーサリアムのメインネットに送金したいと考えているということです。LayerZeroは設計どおりに指示を忠実に伝達しました。Kelp DAOがメインネット上に展開したブリッジコントラクトも、設計どおりに送金処理を忠実に実行しました。
当時約2億9200万ドル相当の11万6500rsETHが、攻撃者が管理するアドレスに単一の取引で送金された。
問題は、他のチェーン上の誰もこのrsETHを保存していなかったことだ。この「クロスチェーンリクエスト」はでっち上げであり、LayerZeroもKelpのブリッジもそれを信じてしまった。
46分後、Kelpの緊急マルチシグネチャは一時停止された。その時点で、攻撃者たちは作戦の後半を完了しており、盗んだ実質的にペッグされていないrsETHをAave V3に担保として差し入れ、約2億3600万ドル相当のwETHを借り入れていた。
これは2026年に入ってから最大のDeFi窃盗事件であり、北朝鮮の支援を受けたハッカーによって4月1日に発生したDriftプロトコルの損失を数百万ドル上回っている。しかし、業界に真の恐怖を与えているのは、単に金額の大きさだけではない。
攻撃の発生方法:17時35分から18時28分の間に3回の賭けが行われた。
タイムラインを復元しましょう。
UTC 17:35、最初の成功。攻撃者は、Tornado Cash を基盤とするウォレットである LayerZero EndpointV2 コントラクトの lzReceive 関数を呼び出し、偽造されたクロスチェーンデータパケットを Kelp ブリッジングコントラクトに送信しました。コントラクトの検証は成功し、116,500 rsETH が攻撃者のアドレスに送金されました。単一のトランザクション。クリーンな取引です。
UTC18時21分、Kelpの緊急一時停止マルチシグネチャサービスにより、メインネット上のrsETHコアコントラクトと複数のL2サーバーが凍結されました。これは攻撃発生から46分後の出来事です。
UTC 18:26と18:28に、攻撃者はさらに2回の攻撃を仕掛け、それぞれLayerZeroデータパケットを使用して40,000 rsETH(約1億ドル)を引き出そうとした。どちらの攻撃も取り消され、コントラクトは凍結されたが、攻撃者は明らかに残りの流動性を持ち逃げしようとしていた。
最初の成功からケルプ社が公式声明を発表するまで、およそ3時間が経過した。
Kelpの最初のX投稿はUTC20:10まで公開されず、その文面は非常に控えめだった。「rsETHに関連する疑わしいクロスチェーン活動が発見されたため、メインネットおよび複数のL2上のrsETHコントラクトが停止されました。LayerZero、Unichain、監査人、および外部のセキュリティ専門家と協力して根本原因分析を実施しています。」
しかし、ブロックチェーンアナリストのZachXBTは、公式発表よりも早く結論を出していた。東部標準時午後3時前に、彼は自身のTelegramチャンネルで攻撃者に警告を発し、窃盗に関与した6つのウォレットアドレスを列挙し、攻撃に使われたウォレットはすべて、攻撃開始前にTornado Cash経由で資金を準備していたと指摘した。彼はKelp DAOの名前は挙げなかったが、このブロックチェーンアナリストは数時間以内にこれらのアドレスを特定した。
これは計画的に実行された作戦であり、わずか数分で完了した。事前にチャージされ、資金洗浄されたウォレット、綿密に作成されたクロスチェーンデータパケット、連携攻撃、そしてAaveの住宅ローン融資――すべての手順がメトロノームのような正確さで実行された。
彼らは盗みを働いた後、あなたを騙すこともある。
もしそれが単なるブリッジングの脆弱性によるもので、116,500 rsETHが盗まれ、犯人が逃走しただけなら、せいぜい2026年の重大事件とみなされる程度だろう。Kelpが損失を吸収し、コミュニティが数日間その影響を消化し、業界は前に進むだろう。
しかし、攻撃者たちは明らかに計算済みだった。rsETH自体には十分な二次流動性がなく、2億9200万ドルを直接DEXに投じて売り抜けようとすれば、スリッページによって利益のかなりの部分が失われてしまう。より巧妙な脱出方法は、この「新たに取得したrsETH」を一見まともな担保としてパッケージ化し、レンディングプロトコルを通じて真に流動性の高い資産を借り入れることだった。
攻撃者たちは次に第二段階として、盗んだrsETHを担保としてAave V3に預け入れ、多額のwETHを借り入れた。
なぜこのステップが致命的だったのか?それは、その時点でAaveコントラクトがrsETHのオラクル価格に基づいて担保価値を計算していた一方で、ブリッジ内の準備金は既に枯渇しており、このrsETHのバッチの根底にある経済的基盤はもはや存在していなかったからだ。貸付プロトコルは依然として「100%金含有」基準に従って融資を行っていたが、担保は既に無価値な小切手となっていた。
その結果、攻撃者たちは資金を清算するリスクをAaveのwETH準備金プールに転嫁した。
Aave V3のwETH準備金は現在、不良債権を吸収している。Solidity開発者兼監査人の0xQuitは、Xの預金者に対し、wETHプールが実際に損害を受けており、AaveのUmbrellaバックアップモジュールが赤字を解消するまで、一部の引き出しが復旧しない可能性があることを警告した。
最新の不良債権額の推定値は1億7700万ドル程度で、これはイーサリアムのメインネット側のみの数字である。
最初の主要なテストが予測されました
ベテランのDeFiユーザーにとって、この光景は見覚えがあるだろう。2022年にLunaが崩壊した際、Aave V2のセーフティモジュールは同様の役割を果たした。
しかし今回は、アンブレラが主役となる。Aaveは2025年末に、旧セーフティモジュールに代わる新世代のバックアップシステムを発売する予定だ。今回の事案は、アンブレラの自動不良債権補償メカニズムにとって、初めての本格的な実地ストレステストとなる。
Umbrellaの仕組みはシンプルです。aWETH、aUSDC、GHO、その他のaTokenを対応するUmbrellaボルトにステーキングすることで、通常時は追加のインセンティブを獲得できます。しかし、対応する資産プールに不足が生じた場合、不足分を補うためにステーキングされた分が比例的に削減されます。
この設計は理論上は良さそうに見える。Aave v3.3の運用開始後最初の1か月で、プール全体の赤字は約40万ドルだったが、これは約95億ドルの未払いローンに相当する。その割合は非常に小さいため、ほぼ無視できる。
しかし、1億7700万ドルの不良債権は別次元の規模です。UmbrellaにaWETHをステーキングしたユーザーにとって、これは「スラッシングのリスクを負う」という言葉の重みを初めて実感することを意味します。Aaveの公式声明は慎重で、不良債権が発生した場合、AaveはUmbrellaの資産を使用して不足分を補填する予定です。しかし、損失を完全に補填できるかどうか、スラッシング率はどのくらいになるのか、そして主要ステーキング者がどれだけの損失を被るのかといった疑問は、決済プロセスが完了した後にのみ明らかになります。
クロスチェーン橋の原罪
さらに恐ろしいのは、盗まれたrsETHの正体です。
rsETHは、Base、Arbitrum、Linea、Blast、Mantle、Scrollなど20以上のネットワークに展開されており、クロスチェーン取引はLayerZeroのOFT標準によって処理されます。中空ブリッジ内のrsETHは、これらのネットワーク上のすべての「ラップド」バージョンのrsETHを支える準備金です。
この設計は一見するとごく普通に聞こえる。メインネットの金庫には1対1の準備金が保管されており、L2上のrsETH保有者は理論上いつでもメインネットに戻って保有分を引き出すことができる。しかし、この仕組みは金庫に実際にお金があるという前提に基づいている。
金庫の空き容量は現在18%です。ケルプのrsETH流通総量の約18%に相当する準備金が、一夜にして失われました。
これによりフィードバックループが発生します。L2保有者がパニック的に償還を行うと、その圧力は影響を受けていないイーサリアムの供給側に伝わり、Kelpは引き出し要求に対応するために保有ポジションを解除せざるを得なくなる可能性があります。
ステーキングのやり直しは、ボタンを押すほど簡単ではありません。EigenLayerからの引き出しには遅延があり、基盤となるバリデーターの退出にも待ち時間が発生します。L2 rsETH保有者が一斉に償還ウィンドウに殺到した場合、Kelpはメインネット償還に必要な準備を整える時間が足りなくなる可能性があります。
これはブリッジリザーブモデルの根本的なリスクです。メインネット、つまりこの単一のリザーバーが故障すると、下流のすべてのチャネルの圧力が崩壊します。現在、すべてのL2ネットワーク上のすべてのrsETH保有者は、まず逃げるか、それともKelpがフォールバックをカバーすると信じるかという同じ選択に直面しています。
数時間のうちに、DeFi融資業界全体にパニックが広がった。
Aave V3およびV4向けのrsETH市場は凍結されており、新規の預金およびrsETHベースの融資チャネルは閉鎖されています。
SparkLendとFluidもこれに倣い、rsETH市場を凍結した。
EthenaはrsETHへのエクスポージャーはなく、101%以上の過剰担保を維持していると表明したが、念のため、イーサリアムメインネットを起点とするLayerZero OFTブリッジを一時停止した。一時停止期間は約6時間と見込まれている。この対応は非常に興味深い。直接エクスポージャーのない企業でさえ、LayerZero関連のブリッジを一時停止しているのだ。
Lido Financeは、earnETH商品への新規預金を一時停止しました(この商品はrsETHへのエクスポージャーを含んでいるため)。ただし、stETHとwstETHは影響を受けておらず、Lidoのコアステーキングプロトコルはこの事象とは無関係であることを強調しています。
Upshiftは、High Growth ETHおよびKelp Gainの保管庫への入出金を一時停止しました。
リストは今も増え続けている。
Deep Tideの解説:DeFiのセキュリティへの道は長く険しい
本稿執筆時点では、Kelp DAOの根本原因分析はまだ進行中です。セキュリティチームやホワイトハットハッカーとの交渉を通じて、盗まれたrsETHのうちどれだけが回収できるのでしょうか?Aaveのアンブレラはこの不良債権に耐えられるのでしょうか?L2 rsETH保有者がプラットフォームへの取り付け騒ぎを引き起こすのでしょうか?AAVEとrsETHの価格は週末が終わる前に安定するのでしょうか?
しかし、既にいくつかの問題点が浮上している。
例えば、LRT(ライトレールトランジット)は引き続き融資契約の担保として認められるのでしょうか?
前回のイーサリアム・エコシステムにおいて、リキッド・リステーキング・トークン(LRT)は大きな注目を集めました。EigenLayerは「1ETHで複数のレベルのリターンを得る」というコンセプトを打ち出し、Kelp、ether.fi、Pufferといったプロトコルがこのコンセプトを実用化しました。その結果、LRTは主要な融資プロトコルにおいて、構造化資産として担保のホワイトリストに掲載されるに至りました。
この決定は、LRTのアンカーメカニズムが十分に堅牢であり、基礎となる資産の多層的なネスト構造に伴うリスクをスマートコントラクトレベルで完全にモデル化し、分離できるという前提に基づいています。
Kelp事件は、たった一日でこの前提に大きな欠陥があることを露呈させた。LRTのリスクは、基盤となるスマートコントラクトだけでなく、そのクロスチェーン分散アーキテクチャにも起因する。単一のプロトコルだけでなく、EigenLayer、LayerZero、Aaveとのあらゆる依存関係にもリスクが存在する。DeFiレゴセットの個々のピースは、分解した状態では安全に見えるかもしれないが、それらを組み合わせると、リスクは加算されるのではなく、増幅されるのだ。
今後数ヶ月のうちに、LRTを高格付け担保として利用しているすべての融資契約は、リスクパラメータの見直しが必要となるでしょう。供給上限は引き下げられ、清算バッファーは増加し、一部の契約は上場廃止となる可能性もあります。
DeFiの強みはこれまで「コンポーザビリティ(構成可能性)」と呼ばれてきたが、今回の事件はコンポーザビリティが諸刃の剣であることを改めて思い知らせた。自慢のネットワーク効果は、攻撃者の手にかかれば単なる増幅器に過ぎないのだ。
今回、攻撃者たちは事前に脱出戦略を計画していた。彼らは単に盗むだけでなく、DeFiの構成可能性を武器として利用した。プロトコル間の依存関係が密接で構成可能性が高ければ高いほど、攻撃者の攻撃対象領域は広がり、利用できる金融レゴブロックの数も増える。
DeFiのセキュリティは、依然として長く困難な課題である。
