概要 | Grok編集 | 吴说区块链4 月 19 日(実際の事件は 4 月 18 日 UTC 17:35頃に発生)、暗号通貨界は徹底的に Kelp DAO rsETH クロスチェーンブリッジの大規模悪用事件に関する話題で埋め尽くされた。これまでで最大規模の DeFi セキュリティ事件であり、損失額は約 2.92–2.93 億ドル、直接関与した rsETH は約 11.65 万枚(rsETH 総流通量の約 18%)に上る。ハッカーは LayerZero ドライブのクロスチェーンブリッジを悪用し、偽造メッセージを送信して、イーサリアムメインネット上で大量の実抵当付与のない rsETH を鋳造。その後、これらの「空気資産」を Aave、Compound、Euler などの主流借入プロトコルに担保として預け、約 2.36 億ドルの実資産 WETH/ETH などを借り出し、多くのプロトコルで合計約 1.77–2.8 億ドルの不良債権リスクを生じさせた。この事件は X(旧 Twitter)上で瞬く間に拡散し、中国語・英語コミュニティの議論は数時間で百億回超に達し、クロスチェーンブリッジの安全性、再担保 LRT メカニズム、DeFi のシステムリスクに対する広範な疑問を呼び起こした。事件の完全なタイムライン4 月 18 日 UTC 17:35頃:攻撃が正式に開始。ハッカーは Kelp DAO の LayerZero クロスチェーンブリッジ設定の脆弱性(1/1 DVN、単一の分散型検証ノード設定)を突き、偽造クロスメッセージを送信し、lzReceive 関数を呼び出してイーサリアムメインネット上で 11.65 万枚の無実抵当 rsETH を鋳造した。X 上の複数の追跡者(例:@zachxbt)は、取引ハッシュと異常な鋳造記録を最初に投稿した。攻撃の中盤:ハッカーは Tornado Cash などのプライバシーツールを使い資金源を隠蔽し、その後、偽造 rsETH を Aave V3、Compound、Euler などの9つの主流借入プロトコルに預け、実資産 ETH/WETH を大量に借り出した。Xコミュニティのリアルタイム投稿によると、借入プールの利用率は瞬時にほぼ100%に達し、一部のプロトコルでは1日の流出額が66億ドルを超えた。Kelp DAO の対応:攻撃から約46分後、Kelp DAO のマルチシグウォレットが疑わしい活動を検知し、緊急でメインネットおよび複数の L2 チェーン上の rsETH 関連コントラクト機能を停止した。公式Xアカウントは最初に「rsETH クロスチェーンに疑わしい活動が発生」と投稿し、LayerZero チームや監査機関、安全専門家と連携して調査を開始したことを伝えた。4 月 18 日夜から 19 日:Aave 公式Xアカウントが声明を出し、rsETH 抵当市場を緊急凍結し、不良債権の拡大を防止。Compound、Euler なども順次、資産操作の停止や制限を実施。LayerZero 公式X投稿は「事象を把握しており、根本原因を調査中」と回答。この一連の流れはX上でライブ配信のように記録され、多くのKOLがオンチェーンデータをリツイートし、特にJustin Sun などの大口投資家がAaveから大量に資金を引き揚げたことに言及し、市場のパニックをさらに加速させた。技術的詳細解析(X上の開発者・セキュリティ研究者)@kittendong などの技術投稿(中国語の深掘り分析)によると、今回の攻撃の核心的脆弱性は、Kelp DAO の LayerZero OApp(オムニチェーンアプリケーション)の設定問題にある。1/1 DVN(単一検証ノード方式)を採用していたため、ハッカーはクロスチェーン検証メッセージを偽造できた。攻撃者は巧妙に構築したペイロードを使い、ターゲットチェーン上で実抵当付与のない rsETH の鋳造を引き起こした。この仕組みは本質的に、ハッカーに「空から」約3億ドル相当の合成資産を獲得させるものだった。その後、ハッカーはこれらの rsETH を過剰担保(オーバーコラテラライズ)として借入プロトコルに預け、実資産 ETH を借り出す「フラッシュローン」型の攻撃に展開した。X上のセキュリティ研究者は、これが2022年の Nomad ブリッジ事件と高度に類似していると指摘し、「クロスチェーンブリッジ + LRT(Liquid Restaking Token)」の組み合わせによるシステムリスクの顕在化を示した。rsETH は再担保派生品として、底層の ETH ステーキングに依存しているが、クロスチェーン鋳造の段階では十分な分散検証やリアルタイムの背書検査が行われていなかった。また、一部の投稿では、ハッカーが Kelp DAO コントラクトの秘密鍵や設定漏洩を利用した可能性も示唆されており(詳細は調査中)、攻撃の一連の流れは効率的かつ低調に進行し、ガス代の出所も複数の混乱を経て隠蔽されている。公式対応と緊急措置Kelp DAO:公式X投稿で「rsETHの多チェーンコントラクト機能を停止し、さらなる損失を防止」と表明し、「LayerZeroや複数の監査機関と連携し、24–48時間以内に初期調査報告を公開する」と約束。LayerZero:公式アカウントは「根本原因調査に全力を尽くしており、最短で透明性のあるアップデートを提供する」と投稿し、すべてのLayerZero 統合プロジェクトに対してDVN閾値設定の確認を呼びかけ。Aave:X上の声明で「rsETH 関連市場を凍結し、流動性は安全」と表明したが、コミュニティは潜在的な不良債権規模が 2.8 億ドルに達する可能性を懸念。他の影響を受けたプロトコル(例:Compound、Euler)も同様の公告を出し、X上のリアルタイム更新投稿では少なくとも16の借入・DEXプロトコルが制限措置を取ったことが示されている。市場への影響と連鎖反応この事件はDeFi市場に激しい衝撃を与えた。トークン価格:AAVEトークンは24時間で17–19%急落し、多数のロスカットを誘発。LayerZeroのネイティブトークンZROも約20%下落。rsETHは大きくデペッグし、価格はETHに対して大きく割安となった。流動性の衝撃:AaveなどのETHプールの利用率はほぼ100%に達し、1日で流出額は66億ドル超に。DeFiの総TVLは短時間で約100億ドル蒸発。感染拡大:X上の複数のアナリストが「感染経路図」を作成し、不良債権がLRTエコシステムやクロスチェーン資産全体に波及する可能性を指摘。歴史比較:今回の事件は18日前の Drift プロトコルの約2.85億ドル損失を超え、2026年最大のDeFiハッカー事件となった。多くの投稿はLayerZeroの1/1 DVNを「タイムボム」と呼び、すべてのクロスチェーンプロジェクトに対し、多検証ノード(少なくとも2/3以上の閾値)へのアップグレードを促している。開発者の中には「安全性を犠牲にして速度を優先すべきではない」との意見も。LRTと合成資産のリスク:コミュニティは、rsETHのような再担保資産はクロスチェーン環境下での透明性不足を指摘し、@zachxbt などの投稿は「実抵当のないLRTは最大の攻撃面」と強調。DeFiのシステムリスク:複数のアナリストが今後の連鎖反応をシミュレートし、ユーザーに対しAaveやCompoundのポジションを確認し、露出資金の撤退を推奨。中国語のコメント欄には「また億単位の橋渡し事故か」「DeFiはもう信用できるか」「安全性向上を求める声」が溢れる。一部の投稿は、Kelp DAOのマルチシグガバナンスの迅速な対応(46分以内に停止)を肯定し、今後はゼロ知識証明(ZK)、マルチシグ、リアルタイム監視などのより強力な対策推進を促している。全体のムードは「衝撃+警戒」が中心だが、一部の開発者は「問題を隠すよりも露呈させる方が長期的な業界の進化に役立つ」とも述べている。事件の教訓と業界への提言今回のKelp DAO rsETH事件は、クロスチェーンブリッジの設計や検証ノード設定、担保の透明性においてシステム的な脆弱性が存在することを再認識させた。Xコミュニティの合意は次の通り。・プロジェクト側はLayerZeroなどのクロスチェーン統合を即座に自己点検し、より分散化された設定を優先すべき。・ユーザーは新規のクロスチェーンLRT資産に慎重になり、TVLが高く監査が透明なプロジェクトを優先し、リスク分散を図る。・業界は標準化された安全フレームワークの推進を加速し、例えば多検証ノードの義務化やオンチェーンのリアルタイム背書検証を促進すべき。現在も調査は継続中であり、Kelp DAO、LayerZero、被害を受けたプロトコルはX上で最新情報を更新し続ける。暗号市場の変動性は変わらず、安全性確保が最優先。すべての参加者は公式Xアカウントを注視し、噂や誤情報に惑わされないよう注意を促す。
2026 最大のセキュリティインシデント発生:Kelp DAO rsETH クロスチェーンブリッジがハッカーに攻撃され、損失は最大で2億9300万ドルに達し、AaveなどのDeFiプロトコルに巨額の不良債権が発生
概要 | Grok
編集 | 吴说区块链
4 月 19 日(実際の事件は 4 月 18 日 UTC 17:35頃に発生)、暗号通貨界は徹底的に Kelp DAO rsETH クロスチェーンブリッジの大規模悪用事件に関する話題で埋め尽くされた。
これまでで最大規模の DeFi セキュリティ事件であり、損失額は約 2.92–2.93 億ドル、直接関与した rsETH は約 11.65 万枚(rsETH 総流通量の約 18%)に上る。
ハッカーは LayerZero ドライブのクロスチェーンブリッジを悪用し、偽造メッセージを送信して、イーサリアムメインネット上で大量の実抵当付与のない rsETH を鋳造。その後、これらの「空気資産」を Aave、Compound、Euler などの主流借入プロトコルに担保として預け、約 2.36 億ドルの実資産 WETH/ETH などを借り出し、多くのプロトコルで合計約 1.77–2.8 億ドルの不良債権リスクを生じさせた。この事件は X(旧 Twitter)上で瞬く間に拡散し、中国語・英語コミュニティの議論は数時間で百億回超に達し、クロスチェーンブリッジの安全性、再担保 LRT メカニズム、DeFi のシステムリスクに対する広範な疑問を呼び起こした。
事件の完全なタイムライン
4 月 18 日 UTC 17:35頃:攻撃が正式に開始。ハッカーは Kelp DAO の LayerZero クロスチェーンブリッジ設定の脆弱性(1/1 DVN、単一の分散型検証ノード設定)を突き、偽造クロスメッセージを送信し、lzReceive 関数を呼び出してイーサリアムメインネット上で 11.65 万枚の無実抵当 rsETH を鋳造した。X 上の複数の追跡者(例:@zachxbt)は、取引ハッシュと異常な鋳造記録を最初に投稿した。
攻撃の中盤:ハッカーは Tornado Cash などのプライバシーツールを使い資金源を隠蔽し、その後、偽造 rsETH を Aave V3、Compound、Euler などの9つの主流借入プロトコルに預け、実資産 ETH/WETH を大量に借り出した。Xコミュニティのリアルタイム投稿によると、借入プールの利用率は瞬時にほぼ100%に達し、一部のプロトコルでは1日の流出額が66億ドルを超えた。
Kelp DAO の対応:攻撃から約46分後、Kelp DAO のマルチシグウォレットが疑わしい活動を検知し、緊急でメインネットおよび複数の L2 チェーン上の rsETH 関連コントラクト機能を停止した。公式Xアカウントは最初に「rsETH クロスチェーンに疑わしい活動が発生」と投稿し、LayerZero チームや監査機関、安全専門家と連携して調査を開始したことを伝えた。
4 月 18 日夜から 19 日:Aave 公式Xアカウントが声明を出し、rsETH 抵当市場を緊急凍結し、不良債権の拡大を防止。Compound、Euler なども順次、資産操作の停止や制限を実施。LayerZero 公式X投稿は「事象を把握しており、根本原因を調査中」と回答。
この一連の流れはX上でライブ配信のように記録され、多くのKOLがオンチェーンデータをリツイートし、特にJustin Sun などの大口投資家がAaveから大量に資金を引き揚げたことに言及し、市場のパニックをさらに加速させた。
技術的詳細解析(X上の開発者・セキュリティ研究者)
@kittendong などの技術投稿(中国語の深掘り分析)によると、今回の攻撃の核心的脆弱性は、Kelp DAO の LayerZero OApp(オムニチェーンアプリケーション)の設定問題にある。1/1 DVN(単一検証ノード方式)を採用していたため、ハッカーはクロスチェーン検証メッセージを偽造できた。攻撃者は巧妙に構築したペイロードを使い、ターゲットチェーン上で実抵当付与のない rsETH の鋳造を引き起こした。この仕組みは本質的に、ハッカーに「空から」約3億ドル相当の合成資産を獲得させるものだった。
その後、ハッカーはこれらの rsETH を過剰担保(オーバーコラテラライズ)として借入プロトコルに預け、実資産 ETH を借り出す「フラッシュローン」型の攻撃に展開した。X上のセキュリティ研究者は、これが2022年の Nomad ブリッジ事件と高度に類似していると指摘し、「クロスチェーンブリッジ + LRT(Liquid Restaking Token)」の組み合わせによるシステムリスクの顕在化を示した。rsETH は再担保派生品として、底層の ETH ステーキングに依存しているが、クロスチェーン鋳造の段階では十分な分散検証やリアルタイムの背書検査が行われていなかった。
また、一部の投稿では、ハッカーが Kelp DAO コントラクトの秘密鍵や設定漏洩を利用した可能性も示唆されており(詳細は調査中)、攻撃の一連の流れは効率的かつ低調に進行し、ガス代の出所も複数の混乱を経て隠蔽されている。
公式対応と緊急措置
Kelp DAO:公式X投稿で「rsETHの多チェーンコントラクト機能を停止し、さらなる損失を防止」と表明し、「LayerZeroや複数の監査機関と連携し、24–48時間以内に初期調査報告を公開する」と約束。
LayerZero:公式アカウントは「根本原因調査に全力を尽くしており、最短で透明性のあるアップデートを提供する」と投稿し、すべてのLayerZero 統合プロジェクトに対してDVN閾値設定の確認を呼びかけ。
Aave:X上の声明で「rsETH 関連市場を凍結し、流動性は安全」と表明したが、コミュニティは潜在的な不良債権規模が 2.8 億ドルに達する可能性を懸念。
他の影響を受けたプロトコル(例:Compound、Euler)も同様の公告を出し、X上のリアルタイム更新投稿では少なくとも16の借入・DEXプロトコルが制限措置を取ったことが示されている。
市場への影響と連鎖反応
この事件はDeFi市場に激しい衝撃を与えた。
トークン価格:AAVEトークンは24時間で17–19%急落し、多数のロスカットを誘発。LayerZeroのネイティブトークンZROも約20%下落。rsETHは大きくデペッグし、価格はETHに対して大きく割安となった。
流動性の衝撃:AaveなどのETHプールの利用率はほぼ100%に達し、1日で流出額は66億ドル超に。DeFiの総TVLは短時間で約100億ドル蒸発。
感染拡大:X上の複数のアナリストが「感染経路図」を作成し、不良債権がLRTエコシステムやクロスチェーン資産全体に波及する可能性を指摘。
歴史比較:今回の事件は18日前の Drift プロトコルの約2.85億ドル損失を超え、2026年最大のDeFiハッカー事件となった。
多くの投稿はLayerZeroの1/1 DVNを「タイムボム」と呼び、すべてのクロスチェーンプロジェクトに対し、多検証ノード(少なくとも2/3以上の閾値)へのアップグレードを促している。開発者の中には「安全性を犠牲にして速度を優先すべきではない」との意見も。
LRTと合成資産のリスク:コミュニティは、rsETHのような再担保資産はクロスチェーン環境下での透明性不足を指摘し、@zachxbt などの投稿は「実抵当のないLRTは最大の攻撃面」と強調。
DeFiのシステムリスク:複数のアナリストが今後の連鎖反応をシミュレートし、ユーザーに対しAaveやCompoundのポジションを確認し、露出資金の撤退を推奨。中国語のコメント欄には「また億単位の橋渡し事故か」「DeFiはもう信用できるか」「安全性向上を求める声」が溢れる。
一部の投稿は、Kelp DAOのマルチシグガバナンスの迅速な対応(46分以内に停止)を肯定し、今後はゼロ知識証明(ZK)、マルチシグ、リアルタイム監視などのより強力な対策推進を促している。
全体のムードは「衝撃+警戒」が中心だが、一部の開発者は「問題を隠すよりも露呈させる方が長期的な業界の進化に役立つ」とも述べている。
事件の教訓と業界への提言
今回のKelp DAO rsETH事件は、クロスチェーンブリッジの設計や検証ノード設定、担保の透明性においてシステム的な脆弱性が存在することを再認識させた。Xコミュニティの合意は次の通り。
・プロジェクト側はLayerZeroなどのクロスチェーン統合を即座に自己点検し、より分散化された設定を優先すべき。
・ユーザーは新規のクロスチェーンLRT資産に慎重になり、TVLが高く監査が透明なプロジェクトを優先し、リスク分散を図る。
・業界は標準化された安全フレームワークの推進を加速し、例えば多検証ノードの義務化やオンチェーンのリアルタイム背書検証を促進すべき。
現在も調査は継続中であり、Kelp DAO、LayerZero、被害を受けたプロトコルはX上で最新情報を更新し続ける。暗号市場の変動性は変わらず、安全性確保が最優先。すべての参加者は公式Xアカウントを注視し、噂や誤情報に惑わされないよう注意を促す。