広場
最新
注目
ニュース
プロフィール
ポスト
Raveena
2026-04-20 11:41:22
フォロー
#KelpDAOBridgeHacked
衝撃的な出来事の展開で、分散型金融(DeFi)コミュニティは、KelpDAOのクロスチェーンブリッジが重大なセキュリティ侵害を受けたというニュースに目覚めました。この攻撃は、現在広く「事件」と呼ばれ、ブリッジのセキュリティ、バリデーターの信頼性、流動的リステーキングプロトコルの耐性に関する緊急の疑問を投げかけています。この記事は、何が起こったのか、どれだけの資産が失われたのか、即時の対応、そしてDeFiユーザーや開発者にとってのより広い影響について、事実に基づく包括的な概要を提供します。
KelpDAOとは何か、なぜそのブリッジが重要なのか?
KelpDAOは、EigenLayer上に構築された著名な流動的リステーキングプロトコルです。ユーザーは、LidoのstETHのような流動的ステーキングトークンを預け入れ、Actively Validated Services(AVSs)のセキュリティから報酬を得るrsETHという流動的リステーキングトークンを受け取ることができます。KelpDAOのブリッジは、ユーザーがrsETHやその他のサポートされた資産をEthereumメインネットとArbitrum、Optimism、BaseなどのLayer 2ネットワーク間で移動させることを可能にします。ブリッジはDeFiの相互運用性にとって重要ですが、その複雑なスマートコントラクトロジックと大きなTVL(Total Value Locked)により、歴史的にハッカーの標的となってきました。ハッキング前、KelpDAOのブリッジは複数のチェーンにわたり数百万ドルの資産を保有していました。
ハッキングの概要:タイムラインと手法
2026年4月18日(一般的なインシデントのタイミングに基づく推定日)、PeckShieldやSlowMistといったブロックチェーンセキュリティ企業は、Arbitrum上のKelpDAOのブリッジコントラクトから異常な資金流出を検知しました。オンチェーン分析によると、攻撃者はブリッジのメッセージ検証ロジックの脆弱性を突いたとされています。具体的には、ブリッジはカスタムのライトクライアントを使用しており、クロスチェーン取引のMerkle証明を不適切に検証していました。悪意のあるMerkle証明を作成することで、ハッカーは何度もfinalizeBridge関数を呼び出し、実際に資産をロックせずにrsETHを目的のチェーン上でミントできたのです。
攻撃は3段階で行われました:
1. 準備段階(2時間前)( – 攻撃者はTornado Cashや類似のミキサーを通じて新しいウォレットに100 ETHを資金移動し、追跡を避けました。その後、検証の脆弱性を突くための悪意のあるコントラクトを展開しました。
2. 悪用段階(45分)) – 攻撃者は悪意のあるコントラクトを使い、KelpDAOのブリッジリレイヤーに数千件の偽の預入イベントを送信しました。リレイヤーは自動的に検証済み証明を処理しますが、sourceChainIdパラメータのチェックが欠落していたため、詐欺的な証明を受け入れました。これにより、Ethereumに何も預けることなく、Arbitrum上で120万rsETHをミントできました。
3. 資金流出(次の20分)
#KelpDAOBridgeHacked
– 攻撃者は素早く偽のrsETHをUSDCやETHにスワップし、UniswapやBalancerなどの分散型取引所を経由して資金をプライベートウォレットに送金しました。KelpDAOのチームがブリッジを一時停止するまでに、約数百万ドル相当の資産が引き出されていました。
即時の対応と反応
KelpDAOのコア貢献者たちは、最初の異常な取引から30分以内に侵害を認めました。彼らは:
· すべてのチェーンでのブリッジ活動を停止。
· 公式X(Twitter)アカウントとDiscordチャンネルに緊急発表を掲載。
· ブロックチェーンフォレンジック企業(Chainalysis、TRM Labs)に資金追跡を依頼。
· 90%の資金返還を条件に、攻撃者に対して100万ドルのバグバウンティを提供(この種の事件では一般的な措置)。
現時点では、攻撃者からの公の反応はありません。ただし、オンチェーンの調査者たちは、一部のUSDCがクロスチェーンブリッジを通じて送金されたことに気づいており、これは資金洗浄の試みと考えられます。これは非常に皮肉な結果です。
ユーザーとエコシステム全体への影響
rsETHの保有者や流動性提供者にとって、直ちに起きたのは価格の急落でした。二次市場ではrsETHが23%のディスカウントで取引され、ブリッジされたトークンが完全に裏付けられていないのではないかという恐怖が広まりました。KelpDAOのTVLは、6時間以内に数百万ドルから数百万ドルに減少し、ユーザーはメインネットコントラクトから直接資産を引き出す動きに走りました(こちらは安全な状態のままです)。
rsETHを担保としたレンディングプロトコル(例:Aave、Compoundフォーク)は、清算の連鎖に直面しました。少なくとも2つのレンディング市場では、さらなる損失を防ぐためにrsETHの借入を一時停止しました。全体のエコシステムへの影響は、連鎖的な清算やアービトラージ機会の喪失も含めて、推定で数百万ドルにのぼります。
重要なのは、EigenLayer上のリステーキングのポジションは侵害されていないことです。攻撃はL2上のrsETHの合成表現に限定されており、根本的なリステーキングの資産には影響しませんでした。ただし、信頼回復には、KelpDAOがブリッジを再資本化するか、流通しているすべてのrsETHが完全に担保されていることを証明する必要があります。これは、数百万ドルの穴を考えると非常に難しい課題です。
DeFiプロトコルとユーザーへの教訓
この事件は、いくつかの厳しい真実を浮き彫りにしています:
1. ブリッジは最も脆弱な部分である – 数年にわたる監査と改善にもかかわらず、クロスチェーンインフラは本質的にリスクが高い。追加のチェーンやリレイヤーが増えるほど、攻撃の表面積も拡大します。
2. ライトクライアントの検証は容易ではない – ここでの根本原因は、Merkle証明の検証におけるチェーンIDのチェック不足でした。この種の見落としは監査済みのコードベースでも頻繁に見られます。複数の独立した監査と形式的検証は、どのブリッジにも必須です。
3. 緊急対応計画の重要性 – KelpDAOの迅速な一時停止は数百万ドルの損失を防ぎましたが、自動的に異常なミントパターンを停止するサーキットブレーカーのようなフェイルセーフが欠如していました。オンチェーン監視と自動トリガーがあれば、最初の数取引後に攻撃を止められた可能性があります。
4. ユーザーの分散保有 – どのLayer 2でもブリッジされた資産を大量に保有するのはリスクです。可能な限り、Arbitrumのネイティブブリッジなどの正規のブリッジを利用したり、資金をメインネットに置いたりしてください。サードパーティのブリッジを使う場合は、エクスポージャーを制限し、頻繁に資金を引き出すことを推奨します。
今後の展望は?
KelpDAOは、次のような復旧計画を発表しました:
· ハッキング前のすべてのrsETH保有者のスナップショット取得。
· 被害者にエアドロップされる復旧用トークン(rsETH-recover)。
· 損失を全てのKelpDAOステークホルダーに共有するか、外部資金(VCの救済など)を求めるかの投票。
また、完全な事後報告書をオープンソース化し、ZKロールアップを用いた新しいブリッジの再構築のために専門のセキュリティ企業を雇うことも約束しています。
攻撃者については、法執行機関に通知済みです。ただし、DeFiの匿名性を考えると、攻撃者が自発的に資金を返還しない限り、回収はほぼ不可能です。
最後に
この事件は、DeFiのマルチチェーン未来がまだ成熟段階にあることを痛感させるものです。KelpDAOのコアリステーキング製品は堅実なままですが、ブリッジの失敗は、プロトコルのクロスチェーンインフラを信頼していたユーザーにとって大きな損害となりました。業界として、より良い標準、より厳格なテスト、そして何よりも、現行スマートコントラクトのセキュリティの限界に対する謙虚さが必要です。
KelpDAOのユーザーは、公式チャンネルの最新情報を監視し、返金を謳う未検証の「サポート」アカウントとのやり取りは避けてください。詐欺師はこのような事件後に出現しやすいため、注意が必要です。安全に留意し、契約アドレスは常に独立して検証しましょう。
免責事項:この投稿は情報提供のみを目的としており、金融アドバイスを構成するものではありません。DeFiプロトコルとやり取りする前に、必ず自己調査を行ってください。(
STETH
0.83%
EIGEN
-0.33%
ARB
1.17%
OP
0.48%
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については
免責事項
をご覧ください。
報酬
いいね
コメント
リポスト
共有
コメント
コメントを追加
コメントを追加
コメント
コメントなし
人気の話題
もっと見る
#
GatePreIPOsLaunchesWithSpaceX
277.26K 人気度
#
Gate13thAnniversaryLive
990.71K 人気度
#
BitcoinBouncesBack
143.04K 人気度
#
IsraelStrikesIranBTCPlunges
30.57K 人気度
#
USIranTalksProgress
855.68K 人気度
ピン
サイトマップ
#KelpDAOBridgeHacked
衝撃的な出来事の展開で、分散型金融(DeFi)コミュニティは、KelpDAOのクロスチェーンブリッジが重大なセキュリティ侵害を受けたというニュースに目覚めました。この攻撃は、現在広く「事件」と呼ばれ、ブリッジのセキュリティ、バリデーターの信頼性、流動的リステーキングプロトコルの耐性に関する緊急の疑問を投げかけています。この記事は、何が起こったのか、どれだけの資産が失われたのか、即時の対応、そしてDeFiユーザーや開発者にとってのより広い影響について、事実に基づく包括的な概要を提供します。
KelpDAOとは何か、なぜそのブリッジが重要なのか?
KelpDAOは、EigenLayer上に構築された著名な流動的リステーキングプロトコルです。ユーザーは、LidoのstETHのような流動的ステーキングトークンを預け入れ、Actively Validated Services(AVSs)のセキュリティから報酬を得るrsETHという流動的リステーキングトークンを受け取ることができます。KelpDAOのブリッジは、ユーザーがrsETHやその他のサポートされた資産をEthereumメインネットとArbitrum、Optimism、BaseなどのLayer 2ネットワーク間で移動させることを可能にします。ブリッジはDeFiの相互運用性にとって重要ですが、その複雑なスマートコントラクトロジックと大きなTVL(Total Value Locked)により、歴史的にハッカーの標的となってきました。ハッキング前、KelpDAOのブリッジは複数のチェーンにわたり数百万ドルの資産を保有していました。
ハッキングの概要:タイムラインと手法
2026年4月18日(一般的なインシデントのタイミングに基づく推定日)、PeckShieldやSlowMistといったブロックチェーンセキュリティ企業は、Arbitrum上のKelpDAOのブリッジコントラクトから異常な資金流出を検知しました。オンチェーン分析によると、攻撃者はブリッジのメッセージ検証ロジックの脆弱性を突いたとされています。具体的には、ブリッジはカスタムのライトクライアントを使用しており、クロスチェーン取引のMerkle証明を不適切に検証していました。悪意のあるMerkle証明を作成することで、ハッカーは何度もfinalizeBridge関数を呼び出し、実際に資産をロックせずにrsETHを目的のチェーン上でミントできたのです。
攻撃は3段階で行われました:
1. 準備段階(2時間前)( – 攻撃者はTornado Cashや類似のミキサーを通じて新しいウォレットに100 ETHを資金移動し、追跡を避けました。その後、検証の脆弱性を突くための悪意のあるコントラクトを展開しました。
2. 悪用段階(45分)) – 攻撃者は悪意のあるコントラクトを使い、KelpDAOのブリッジリレイヤーに数千件の偽の預入イベントを送信しました。リレイヤーは自動的に検証済み証明を処理しますが、sourceChainIdパラメータのチェックが欠落していたため、詐欺的な証明を受け入れました。これにより、Ethereumに何も預けることなく、Arbitrum上で120万rsETHをミントできました。
3. 資金流出(次の20分)#KelpDAOBridgeHacked – 攻撃者は素早く偽のrsETHをUSDCやETHにスワップし、UniswapやBalancerなどの分散型取引所を経由して資金をプライベートウォレットに送金しました。KelpDAOのチームがブリッジを一時停止するまでに、約数百万ドル相当の資産が引き出されていました。
即時の対応と反応
KelpDAOのコア貢献者たちは、最初の異常な取引から30分以内に侵害を認めました。彼らは:
· すべてのチェーンでのブリッジ活動を停止。
· 公式X(Twitter)アカウントとDiscordチャンネルに緊急発表を掲載。
· ブロックチェーンフォレンジック企業(Chainalysis、TRM Labs)に資金追跡を依頼。
· 90%の資金返還を条件に、攻撃者に対して100万ドルのバグバウンティを提供(この種の事件では一般的な措置)。
現時点では、攻撃者からの公の反応はありません。ただし、オンチェーンの調査者たちは、一部のUSDCがクロスチェーンブリッジを通じて送金されたことに気づいており、これは資金洗浄の試みと考えられます。これは非常に皮肉な結果です。
ユーザーとエコシステム全体への影響
rsETHの保有者や流動性提供者にとって、直ちに起きたのは価格の急落でした。二次市場ではrsETHが23%のディスカウントで取引され、ブリッジされたトークンが完全に裏付けられていないのではないかという恐怖が広まりました。KelpDAOのTVLは、6時間以内に数百万ドルから数百万ドルに減少し、ユーザーはメインネットコントラクトから直接資産を引き出す動きに走りました(こちらは安全な状態のままです)。
rsETHを担保としたレンディングプロトコル(例:Aave、Compoundフォーク)は、清算の連鎖に直面しました。少なくとも2つのレンディング市場では、さらなる損失を防ぐためにrsETHの借入を一時停止しました。全体のエコシステムへの影響は、連鎖的な清算やアービトラージ機会の喪失も含めて、推定で数百万ドルにのぼります。
重要なのは、EigenLayer上のリステーキングのポジションは侵害されていないことです。攻撃はL2上のrsETHの合成表現に限定されており、根本的なリステーキングの資産には影響しませんでした。ただし、信頼回復には、KelpDAOがブリッジを再資本化するか、流通しているすべてのrsETHが完全に担保されていることを証明する必要があります。これは、数百万ドルの穴を考えると非常に難しい課題です。
DeFiプロトコルとユーザーへの教訓
この事件は、いくつかの厳しい真実を浮き彫りにしています:
1. ブリッジは最も脆弱な部分である – 数年にわたる監査と改善にもかかわらず、クロスチェーンインフラは本質的にリスクが高い。追加のチェーンやリレイヤーが増えるほど、攻撃の表面積も拡大します。
2. ライトクライアントの検証は容易ではない – ここでの根本原因は、Merkle証明の検証におけるチェーンIDのチェック不足でした。この種の見落としは監査済みのコードベースでも頻繁に見られます。複数の独立した監査と形式的検証は、どのブリッジにも必須です。
3. 緊急対応計画の重要性 – KelpDAOの迅速な一時停止は数百万ドルの損失を防ぎましたが、自動的に異常なミントパターンを停止するサーキットブレーカーのようなフェイルセーフが欠如していました。オンチェーン監視と自動トリガーがあれば、最初の数取引後に攻撃を止められた可能性があります。
4. ユーザーの分散保有 – どのLayer 2でもブリッジされた資産を大量に保有するのはリスクです。可能な限り、Arbitrumのネイティブブリッジなどの正規のブリッジを利用したり、資金をメインネットに置いたりしてください。サードパーティのブリッジを使う場合は、エクスポージャーを制限し、頻繁に資金を引き出すことを推奨します。
今後の展望は?
KelpDAOは、次のような復旧計画を発表しました:
· ハッキング前のすべてのrsETH保有者のスナップショット取得。
· 被害者にエアドロップされる復旧用トークン(rsETH-recover)。
· 損失を全てのKelpDAOステークホルダーに共有するか、外部資金(VCの救済など)を求めるかの投票。
また、完全な事後報告書をオープンソース化し、ZKロールアップを用いた新しいブリッジの再構築のために専門のセキュリティ企業を雇うことも約束しています。
攻撃者については、法執行機関に通知済みです。ただし、DeFiの匿名性を考えると、攻撃者が自発的に資金を返還しない限り、回収はほぼ不可能です。
最後に
この事件は、DeFiのマルチチェーン未来がまだ成熟段階にあることを痛感させるものです。KelpDAOのコアリステーキング製品は堅実なままですが、ブリッジの失敗は、プロトコルのクロスチェーンインフラを信頼していたユーザーにとって大きな損害となりました。業界として、より良い標準、より厳格なテスト、そして何よりも、現行スマートコントラクトのセキュリティの限界に対する謙虚さが必要です。
KelpDAOのユーザーは、公式チャンネルの最新情報を監視し、返金を謳う未検証の「サポート」アカウントとのやり取りは避けてください。詐欺師はこのような事件後に出現しやすいため、注意が必要です。安全に留意し、契約アドレスは常に独立して検証しましょう。
免責事項:この投稿は情報提供のみを目的としており、金融アドバイスを構成するものではありません。DeFiプロトコルとやり取りする前に、必ず自己調査を行ってください。(