執筆:BlockSec核心ポイント:KelpDAOの2.9億ドルのブリッジ脆弱性が連鎖反応を引き起こし、5つのチェーン上で合計67億ドルを超えるWETH流動性を凍結し、これまで関わりのなかったrsETHユーザーにも影響を及ぼした。この事件はまた、「permissionless」システムの実際の境界を明らかにしている:Arbitrumセキュリティカウンシルはガバナンスによる原子化合約のアップグレードを通じて強制的な状態遷移を実行し、所有者の署名なしに30,766 ETHを移転した。2026年4月18日、KelpDAOのrsETHクロスチェーンブリッジが攻撃を受け、約2.9億ドルの損失を出し、今年最大のDeFiセキュリティ事件となった。初期の調査では、長期にわたり暗号インフラを標的とする国家レベルの攻撃組織であるLazarus Groupに起因すると考えられる[1]。この攻撃はスマートコントラクトの脆弱性を突いたものではなく、投毒された単一の分散型検証ネットワーク(DVN)ノードのRPCインフラを通じて、偽造されたクロスチェーンメッセージを源チェーンに送信し、対応する破棄が行われていない状態でrsETHトークンを解放した。LayerZero [1] と KelpDAO [2] は攻撃の詳細について既に説明している。本稿では別の視点から:攻撃後に何が起きたのかを検証する。単一のインフラ依存がどのようにして数十億ドルの流動性凍結の連鎖を引き起こし、その連鎖がどのようにして分散型ガバナンスの枠組みを圧迫し、緊急の中心化権限を行使させたのかを考察する。KelpDAO事件の因果関係は、「分散化」技術スタックの三つの層を貫いている:単点DVN依存により攻撃が可能となり;DeFiの合成性(いわゆる「DeFiレゴ」、プロトコル間が積み木のように連結される特性)がこのブリッジ脆弱性をシステム的な流動性危機へと進化させ;そして、その危機の規模が逆にガバナンスの中心化緊急権限を露呈させた。背景:KelpDAO攻撃の概要KelpDAOはrsETHの発行者である。rsETHは流動性再担保トークン(LRT)であり、複数の運営者に分散されたETH担保ポジションを代表する。rsETHのクロスチェーン流通を実現するために、KelpDAOはLayerZeroのメッセージプロトコルを統合している。このプロトコルは、ターゲットチェーン上でクロスチェーンメッセージの合法性を事前に確認するためにDVN(分散型検証ネットワーク)に依存している。重要な設定選択:KelpDAOのrsETH OAppは1-of-1のDVN構成を採用し、LayerZero Labsが運営する唯一の検証者のみを使用している。これにより、rsETHの全クロスチェーンセキュリティは単一の検証エンティティに依存していることになる。LayerZeroのドキュメントは冗長性のある複数DVN構成を推奨しており、LayerZeroは事件前にこのベストプラクティスをKelpDAOに伝えていた[1]。KelpDAOはこれに対し、1/1構成は「LayerZeroのドキュメントに記載され、新規OFT展開のデフォルト設定として公開されたものであり」、「L2拡張の過程で適切な構成として明示的に認められた」と応答している[2]。攻撃者はLayerZero LabsのDVNが使用する2つのRPCノードに侵入し、そのバイナリを悪意のあるバージョンに置き換えた。これらの悪意のあるノードは、DVNのIPアドレスに対してのみ偽のオンチェーン状態データを返し、他の観測者(LayerZero自身の監視インフラも含む)には正常に見えた。同時に、未侵入のRPCノードに対するDDoS攻撃によりシステムが故障し、毒されたノードにフェイルオーバーした結果、源チェーン上で未発生のクロスチェーンメッセージが確認され、対応する源チェーンの破棄が行われていない状態で、Ethereum側のアダプター(0x85d4...8ef3)から116,500枚のrsETHが解放された[1, 3]。解放取引は0x1ae232...db4222である。オンチェーン証拠は明白で、Ethereumのターゲットエンドポイントはnonce 308を受け入れた一方、Unichainのソースエンドポイントは最大出力nonceが依然として307であることを示している[10]。KelpDAOは46分以内に異常を検知し、関連するすべてのコントラクトを停止した。この措置により、約9500万ドル相当の40,000枚のrsETHに対する後続の攻撃を防いだ[2]。しかし、その時点で攻撃者は次の段階に進んでいた:DeFiの借入プロトコルを通じて盗まれたrsETHを資産に変換していた。偽造トークンから借入資産へ攻撃者は盗まれたrsETHを直接売却しなかった。116,500枚のトークンは7つのウォレットに分散され、多様なチャネルを通じて換金された。具体的には、アグリゲーターを通じて直接ETHに交換、Compound V3の供給ポジションに預け入れ、Arbitrumへブリッジされた[10]。しかし、最も深刻な影響を及ぼしたのはAaveである。攻撃者は89,567枚のrsETH(約2.21億ドル)をEthereumとArbitrumの二つのAave借入市場に預け入れた。AaveのE-Mode(関連資産の貸出価値比を高める資金効率機能)を利用し、rsETHを担保に82,620枚のWETHと821枚のwstETHを借り出した[3]。これらのポジションはレバレッジを極限まで高められている。攻撃者の7つのアドレスのヘルスファクターは1.01から1.03の範囲であり、わずかに清算閾値を上回る状態だった[3]。これは、AaveのE-ModeがrsETHに対して93%のLTV(貸出価値比)を設定し、清算閾値が95%であるため、安全バッファはわずか2ポイントに過ぎないためである。各アドレスの二つの市場における詳細は以下の通り:表 1:攻撃者のAave二市場におけるrsETH供給とWETH/wstETH借出明細データ出典:オンチェーンデータ集計、Etherscan、Arbiscan、DeBankを統合。2026年4月22日16:51 UTC時点。USD価値は各取引時点のトークン価格を反映。連鎖効果:ブリッジ脆弱性が五つのチェーンのWETHを凍結させた経緯以下の図は、連鎖の全体像を示している。ステップ1と2(ブリッジ脆弱性とAaveへの担保預入)は前述の背景部分で紹介済み。本節ではステップ3から5に焦点を当てる:なぜWETHを凍結しなければならなかったのか、どのパラメータが連鎖の深刻さを形成したのか、そして凍結の実際のコストは何か。図 1:ブリッジ脆弱性から五つのチェーンのWETH凍結までの連鎖フローなぜWETHを凍結する必要があったのか4月19日、AaveのProtocol GuardianはAave V3とV4のすべてのrsETHとwrsETH市場を凍結し、新たな担保としてrsETHを用いた借入と預入を禁止した[8]。これは予想された最初の対応だった。しかし、意外な第二の措置が4月20日に発生:Ethereum、Arbitrum、Base、Mantle、Linea上のWETHリザーブを凍結した[3]。なぜWETHを凍結したのか?これは攻撃を受けていない資産であり、クロスチェーンブリッジとは無関係の資産である。攻撃者が預けたrsETHは、源チェーンの資産に対応せずに発行されたものであるためだ。Aaveのオラクルはこれらのトークンに対して完全な市場価格を維持し、正規のブリッジされたrsETHと区別できない有効な担保とみなしている。攻撃者はこの情報の非対称性を利用し、システムレベルで無担保負債の担保として実際のWETHを借り出した。これにより、借入プールのWETHが枯渇し、利用率が100%に達した。利用率が満杯になると、既存のWETH預金者は引き出しできず、清算者も清算に必要な資産を得られなくなる。清算メカニズムは、バッドデットに対する防御の核心であるが、実質的に機能停止している[3]。WETHの借入を開放したままにしておくと、他のチェーン上の流動性プールも同じ仕組みで枯渇する可能性がある:rsETHを預けてWETHを借り、退出する。WETHの凍結は選択肢ではなく、被害を抑える唯一の手段である。連鎖を形成する三つのパラメータこの連鎖の深刻さは偶然ではない。三つのプロトコルパラメータが、直接的な損害の規模と連鎖の範囲を決定している。1. LTV:汚染された担保品1単位から引き出せる健全資産の割合AaveのE-ModeはrsETHに対して93%のLTVを設定しており、汚染されたrsETH1ドルの預入ごとに0.93ドルのWETHを借り出せる。比較として、同時期のSpark ProtocolのrsETH LTVは72%、Fluidは約75%[3]。Aaveの設定は市場で最も積極的である。これは慎重に設計された決定であり、過失ではない。2026年1月、AaveのガバナンスはrsETHのE-Mode LTVを92.5%から93%に引き上げ、既に薄い安全バッファをさらに圧縮し、2.5%から2%に縮小した[8]。基本(非E-Mode)のLTVは意図的に0.05%に設定されており、実質的にすべての有意義なrsETH借入は高LTVのE-Mode経由で行われる。2. プールの深さ:各市場の流動性引き出しに対する脆弱性同じ金額の借入でも、ターゲットプールの深さによって影響は大きく異なる。表 2:各チェーンのAave V3 WETHリザーブ規模と攻撃者の直接引き出し比率攻撃者はAave V3のrsETHのみを預け入れた。Aave V4(2026年3月にEthereumに展開)は、rsETHの予防的凍結により、表には反映されていない[3]。WETHリザーブのデータはLlamaRiskから取得;攻撃者の借入データは上記のアドレス詳細表から。攻撃者はEthereum CoreとArbitrumで借入を集中させている。しかし、重要なのは、rsETHがMantle、Base、Linea上で担保として受け入れられていることだ。これらのチェーンの底層ブリッジ支援が破壊されると、これらのチェーン上のrsETH担保ポジションは潜在的な不良債権リスクに直面する。Aaveがこれら五つのチェーンすべてでWETHの予防凍結を決定したのは合理的な対応である:これらの市場を開いたままにしておくと、EthereumとArbitrumで検証された同じ引き出しメカニズムに曝されることになる[3, 8]。3. クロスチェーン展開数:凍結拡散の範囲rsETHは、Aave V3の23市場中11市場で担保として登録されており、そのうち7市場は実質的なエクスポージャーを持つ[3]。攻撃者は2つのチェーンのみで操作したが、予防的なWETH凍結は少なくとも5つのチェーンに波及し、攻撃者が預けていない市場も含む。LTVは各チェーンからの引き出し量を決定し、プールの深さは各市場の衝撃度を左右する。しかし、最終的に凍結の範囲を決めるのは、rsETHがいくつのリンクで担保として受け入れられているかである。これらのパラメータは静的ではない。攻撃前の9日前、4月9日にAaveのリスク管理者はrsETHの供給上限を引き上げた:Ethereum Coreは48万から53万に、Mantleは5.2万から7万に[3]。これは因果関係を示すものではなく(攻撃者の準備期間はこれらの調整よりも早い可能性が高い)が、通常のパラメータ調整が将来のイベントの影響範囲を無意識に拡大させることを示している。凍結の実際の影響結果として、2.9億ドルのブリッジ脆弱性により、五つのチェーンのWETH流動性が凍結され、影響を受けた市場の合計預金は67億ドルを超えた。直接的な損失は攻撃者の借入額に限定されるが、DeFiの借入において凍結は軽微な運用停止ではない。これはユーザの流動性をロックし、引き出しを妨害し、アクティブなポジションを混乱させ、バッドデットに対する清算メカニズムを弱体化させる。大多数の影響を受けたユーザはrsETHやKelpDAO、クロスチェーンブリッジに関与したことがなく、AaveのWETH預金者・借入者であり、彼らは合理的に理解していた借入市場に参加していた。WETHはDeFiの最も基本的な流動性資産である。これを凍結することは、最大の銀行の引き出し口を閉じるのと同じであり、理由は、他の金融機関がほとんど知らない商品を使った詐欺に遭ったためだ。LlamaRiskの事件報告 [3] は、各チェーンのショートフォール予測を示す二つの悪債シナリオモデルを構築し、最も詳細なリスク伝播分析を提供している。しかし、その分析も潜在的な不良債権に焦点を当てており、凍結による運用コスト(引き出しロック、ポジションの阻害、清算能力の低下)については十分に考慮されていない。連鎖の全体的な影響の定量化は未解決の課題である。攻撃の連鎖は複雑であると同時に、復旧も容易ではない。合成性は破壊を制約する一方、修復も制約する。Aaveは単純に「全て解凍」できない。各市場は個別に評価され、ローカルのrsETHエクスポージャ、WETHの利用率、攻撃者の活動状況に応じてリスクを判断しなければならない。時間経過の例は次の通り:4月19日:Protocol GuardianはAave V3とV4のすべてのrsETHとwrsETHリザーブを凍結[8]。4月20日:Ethereum、Arbitrum、Base、Mantle、Linea上のWETHが凍結[8]。4月21日:Ethereum Core V3のWETHのみ解凍され、LTVは予防措置として0に設定された。その他のチェーンのWETHは引き続き凍結状態[6]。攻撃から4日後、6つの影響を受けた市場のうち解凍されたのは1つだけだった。復旧の道筋は攻撃と同じ複雑さを持ち、段階的に進められる:各プロトコル、各チェーンごとに逐次進行し、各ステップにはガバナンスの調整とリスク評価が必要である。緊急対応:Arbitrumは署名なしで30,766 ETHを移転したのかAaveの借入連鎖の対応と並行して、Arbitrumでも平行の対応が行われた。4月21日、Arbitrum Security Councilは緊急措置として、攻撃者がArbitrum One上に保有する30,766 ETHを凍結した[7]。これらの資金は中間凍結アドレス(0x...0DA0)に移され、その後のArbitrumガバナンス投票によって処理される予定である[7]。ガバナンス行動Arbitrum Security CouncilはArbitrum DAOの正式な構成要素であり、外部主体や臨時委員会ではない。この緊急措置はArbitrumガバナンスフォーラムで公開され、攻撃者の身元確認後に実行された[6]。詳細な取引情報も公開され、誰でも検証可能である。Security Councilはその権限内で行動し、「Arbitrumコミュニティの安全性と完全性へのコミットメントを示しつつ、いかなるArbitrumユーザやアプリケーションにも影響を与えないよう配慮した」[6]。これは密室の決定ではなく、ガバナンスによる正式な権限付与を受けた透明な行動であり、オンチェーン証拠も明白である。技術的仕組みこの行動の注目点は、ガバナンス決定そのものではなく、そのチェーン上での実行方式にある。BlockSecのPhalcon trace分析 [9] に基づき、Security Councilは次の三段階の原子化操作を採用した。アップグレード実行者は一時的にEthereum inboxコントラクト(DelayedInbox)をアップグレードし、新たにsendUnsignedTransactionOverrideという関数を追加した。この関数は、攻撃者のアドレスを偽装したクロスチェーンメッセージの作成に用いられた。メッセージはBridge.enqueueDelayedMessageに注入され、kind=3はArbitrum NitroスタックのL1MessageType\_L2Messageに対応する。このメッセージタイプは、L2上でL2MessageKind\_UnsignedUserTxを実行することを許可する。重要なのは、この経路には署名検証が不要な点である。senderパラメータは標準のmsg.senderから呼び出し者制御の入力に切り替わり、L1→L2のアドレス別名変換を通じて攻撃者のアドレスコンテキストを持つ。L2上での送金完了後、inboxコントラクトは元の実装に復元された。L1取引 [4] とそれに伴うL2取引 [5] はPhalcon Explorerで公開可能。L2取引は「攻撃者から0x...0DA0へ」と表示されるが、これは標準的な署名付き送金ではなく、チェーンレベルの強制状態遷移である。ガバナンスレベルのインフラアップグレードにより、資産所有者の秘密鍵を必要とせずに資産を移動させることが可能となった。分散化のジレンマこの仕組みの根底にあるのは非常に単純な原理:アップグレード可能なコントラクトは無限の能力を持つ。もしコントラクトがアップグレード可能なら、その行動は何でもできる。所有者の署名なしに資産を移動することも含まれる。これは、アップグレード可能なコントラクトを基盤とするシステムの固有の能力である。現在、30,766 ETHは凍結アドレスに預けられている。今後のArbitrumガバナンス投票によってその処理方法が決定される。原子化されたアップグレード・実行・復元のパターンは、inboxコントラクトに永続的な変更を残さず、他のユーザやアプリに影響を与えない[6]。多くの合理的評価によれば、Arbitrum Security Councilの行動は正しかったと考えられる。攻撃者は国家レベルの行為者と認定され、法執行機関も関与し、ガバナンスは公開され透明であり、1,710万ドルの盗難資産は回収または少なくともマネーロンダリングの阻止に成功した。しかし、この能力を可能にした仕組みは、今回のケースに限らず、広く適用可能である。同じアップグレード・実行・復元のメカニズムは、原則としてArbitrum One上の任意のアドレスの資産を移動できる。Security Councilの権限は攻撃者のアドレスや盗難資金に限定されず、ガバナンス規範に従う普遍的な能力である。これがジレンマの核心だ。ユーザはL2とやり取りする際、「自分の資産は私の秘密鍵で管理されており、署名なしでは誰も移動できない」という暗黙の心理モデルを持っている。しかし、KelpDAOの緊急対応はこのモデルが不完全であることを示した。Arbitrumや他のアップグレード可能なブリッジコントラクトとSecurity Councilを持つL2では、署名検証を完全に回避したガバナンス行動によって資産が移動可能である。Arbitrumは例外ではない。Aaveの市場凍結も同様にガバナンス駆動の緊急措置である。KelpDAO事件では、複数のプロトコルが中心化された緊急権限を行使した:Aaveは五つのチェーンの市場を凍結し、Arbitrum Security Councilは強制的に資金を移動し、KelpDAOは全体のコントラクトを一時停止した。これらの対応は効果的で透明であり、必要なものであったと同時に、「permissionless」存在の実際の境界を明示した。問題は、緊急権限が存在すべきかどうかではなく、その範囲、発動条件、責任追及の仕組みが十分に透明かどうかである。L2に資産を預けるユーザは、次の基本的な問いに答えられるべきだ:「私の資産は私の秘密鍵で管理されているが、どの条件下でSecurity Councilは私の資金を移動できるのか?私には何の追及権があるのか?」盗難資金の現状独立したオンチェーン追跡(完全な可視化はMetaSleuth [11]参照)によると、攻撃者は116,500 rsETHを7つの一次アドレスに分散させ、その大部分をAave(Ethereum CoreとArbitrum)に預けてWETHとwstETHを担保に借り出し、少量のDEXを通じて交換し、2つのチェーンの同一アドレス(0x5d39...7ccc)に集約している。2026年4月22日05:42 UTC時点で、盗難資金は以下の4つの状態に分かれている。表 3:盗難資金の4つの状態分布(2026年4月22日05:42 UTC)うち約31%は凍結または阻止されており、23%はEthereumの未動のアドレスに留まり、46%は既にまたは現在分散して103の一次下流アドレスに移動中である。攻撃者はAaveのrsETH担保を未だ引き出しておらず、借りたWETHとwstETHも返済されていない。借入ポジションは放棄された状態だ。KelpDAO事件の因果関係は、「分散化」技術スタックの三層を貫いている。出発点は単点依存である。KelpDAOの1-of-1 DVN構成はクロスチェーン検証を単一のエンティティに縮小し、橋全体を侵害可能にした。構造は分散化を支持しているが、設定はそうなっていなかった。合成性は次に、ブリッジ脆弱性をシステム的流動性危機に進化させた。攻撃はDeFiの最も基本的な資産であるWETHを凍結させ、五つのチェーンに波及し、数十億ドルの流動性に影響を与え、rsETHやKelpDAOと無関係なユーザも巻き込んだ。連鎖の範囲は、激進なLTV設定、浅いプール、広範なクロスチェーン担保展開といったパラメータによって形成された。危機の規模は、分散型ガバナンスが中心化された緊急権限を行使する必要性を高めた。Arbitrum Security Councilはガバナンスによる原子化合約のアップグレードを通じて資金を移動し、Aaveは市場を凍結し、KelpDAOは全体を一時停止した。これらの対応は効果的で透明であり、必要なものであったと同時に、「permissionless」システムの実際の境界を示す明確な証拠である。このジレンマは、攻撃の可能性を高める単点依存と、損害を拡大させる合成性、そしてそれに伴う中心化権力の露呈に由来する。これらの問題に対処するには、関係者が協力して行動する必要がある。・プロトコル側:全体の安全性は最も脆弱な部分に依存している。今回の事件ではDVNインフラが短所であり、コードの安全性だけでなくインフラの安全性、鍵管理、運用安全も含めたシステム全体の評価とペネトレーションテストが必要である。オンチェーン監視は数分以内に緊急対応を促し、迅速な資金追跡は資産凍結と回収に不可欠だ。借入プロトコルにおいては、クロスチェーン合成資産の担保は「担保品完全陥落」シナリオを想定し、前述の三つのパラメータ(LTV、プール深さ、クロス展開数)を用いたストレステストを行うべきだ。・L2ガバナンスとDAO:緊急権限は透明性と責任追及性を持つべきだ。多くの主要L2はこの能力を備えているが、技術文書に埋もれ、ユーザ向け資料には明示されていないことが多い。ガバナンスフレームワークは、発動条件、範囲、時間制約、事後責任追及の要件を明文化すべきだ。・ユーザ側:DeFiの合成性に内在するシステムリスクを理解すべきだ。今回の事件では、rsETHに関わったことのないWETH預金者が5つのチェーンで流動性を凍結された。単一ポジションのリスクは全体像の一部に過ぎず、あなたの資産が関わるプロトコル、プール、担保タイプ、チェーンの相互関係がリスクの全貌を構成している。参考資料[10] LayerZero Core, "KelpDAO Incident Statement": [1] KelpDAO, "April 18 Incident: Additional Context": [2] LlamaRisk, "rsETH Incident Report" [3]April 20, 2026(: ) BlockSec Phalcon Explorer, L1 Transaction [4]Arbitrum Security Council action(: ) BlockSec Phalcon Explorer, L2 Transaction [5]Arbitrum forced transfer(: ) Arbitrum, "Security Council Emergency Action": [6] Arbitrum Governance Forum, "Security Council Emergency Action 21/04/2026": [7] Aave, rsETH incident updates [8]April 19-21, 2026(: ) BlockSec Phalcon, "Arbitrum Security Council freeze analysis": [9] banteg, "Kelp rsETH Unichain → Ethereum Path Investigation": [10] MetaSleuth, KelpDAO exploit trace:
非中央集权的困境:KelpDAO 危机中的级联风险与紧急处置权
執筆:BlockSec
核心ポイント:KelpDAOの2.9億ドルのブリッジ脆弱性が連鎖反応を引き起こし、5つのチェーン上で合計67億ドルを超えるWETH流動性を凍結し、これまで関わりのなかったrsETHユーザーにも影響を及ぼした。この事件はまた、「permissionless」システムの実際の境界を明らかにしている:Arbitrumセキュリティカウンシルはガバナンスによる原子化合約のアップグレードを通じて強制的な状態遷移を実行し、所有者の署名なしに30,766 ETHを移転した。
2026年4月18日、KelpDAOのrsETHクロスチェーンブリッジが攻撃を受け、約2.9億ドルの損失を出し、今年最大のDeFiセキュリティ事件となった。初期の調査では、長期にわたり暗号インフラを標的とする国家レベルの攻撃組織であるLazarus Groupに起因すると考えられる[1]。この攻撃はスマートコントラクトの脆弱性を突いたものではなく、投毒された単一の分散型検証ネットワーク(DVN)ノードのRPCインフラを通じて、偽造されたクロスチェーンメッセージを源チェーンに送信し、対応する破棄が行われていない状態でrsETHトークンを解放した。
LayerZero [1] と KelpDAO [2] は攻撃の詳細について既に説明している。本稿では別の視点から:攻撃後に何が起きたのかを検証する。単一のインフラ依存がどのようにして数十億ドルの流動性凍結の連鎖を引き起こし、その連鎖がどのようにして分散型ガバナンスの枠組みを圧迫し、緊急の中心化権限を行使させたのかを考察する。
KelpDAO事件の因果関係は、「分散化」技術スタックの三つの層を貫いている:単点DVN依存により攻撃が可能となり;DeFiの合成性(いわゆる「DeFiレゴ」、プロトコル間が積み木のように連結される特性)がこのブリッジ脆弱性をシステム的な流動性危機へと進化させ;そして、その危機の規模が逆にガバナンスの中心化緊急権限を露呈させた。
背景:KelpDAO攻撃の概要
KelpDAOはrsETHの発行者である。rsETHは流動性再担保トークン(LRT)であり、複数の運営者に分散されたETH担保ポジションを代表する。rsETHのクロスチェーン流通を実現するために、KelpDAOはLayerZeroのメッセージプロトコルを統合している。このプロトコルは、ターゲットチェーン上でクロスチェーンメッセージの合法性を事前に確認するためにDVN(分散型検証ネットワーク)に依存している。
重要な設定選択:KelpDAOのrsETH OAppは1-of-1のDVN構成を採用し、LayerZero Labsが運営する唯一の検証者のみを使用している。これにより、rsETHの全クロスチェーンセキュリティは単一の検証エンティティに依存していることになる。LayerZeroのドキュメントは冗長性のある複数DVN構成を推奨しており、LayerZeroは事件前にこのベストプラクティスをKelpDAOに伝えていた[1]。KelpDAOはこれに対し、1/1構成は「LayerZeroのドキュメントに記載され、新規OFT展開のデフォルト設定として公開されたものであり」、「L2拡張の過程で適切な構成として明示的に認められた」と応答している[2]。
攻撃者はLayerZero LabsのDVNが使用する2つのRPCノードに侵入し、そのバイナリを悪意のあるバージョンに置き換えた。これらの悪意のあるノードは、DVNのIPアドレスに対してのみ偽のオンチェーン状態データを返し、他の観測者(LayerZero自身の監視インフラも含む)には正常に見えた。同時に、未侵入のRPCノードに対するDDoS攻撃によりシステムが故障し、毒されたノードにフェイルオーバーした結果、源チェーン上で未発生のクロスチェーンメッセージが確認され、対応する源チェーンの破棄が行われていない状態で、Ethereum側のアダプター(0x85d4…8ef3)から116,500枚のrsETHが解放された[1, 3]。解放取引は0x1ae232…db4222である。オンチェーン証拠は明白で、Ethereumのターゲットエンドポイントはnonce 308を受け入れた一方、Unichainのソースエンドポイントは最大出力nonceが依然として307であることを示している[10]。
KelpDAOは46分以内に異常を検知し、関連するすべてのコントラクトを停止した。この措置により、約9500万ドル相当の40,000枚のrsETHに対する後続の攻撃を防いだ[2]。しかし、その時点で攻撃者は次の段階に進んでいた:DeFiの借入プロトコルを通じて盗まれたrsETHを資産に変換していた。
偽造トークンから借入資産へ
攻撃者は盗まれたrsETHを直接売却しなかった。116,500枚のトークンは7つのウォレットに分散され、多様なチャネルを通じて換金された。具体的には、アグリゲーターを通じて直接ETHに交換、Compound V3の供給ポジションに預け入れ、Arbitrumへブリッジされた[10]。しかし、最も深刻な影響を及ぼしたのはAaveである。攻撃者は89,567枚のrsETH(約2.21億ドル)をEthereumとArbitrumの二つのAave借入市場に預け入れた。AaveのE-Mode(関連資産の貸出価値比を高める資金効率機能)を利用し、rsETHを担保に82,620枚のWETHと821枚のwstETHを借り出した[3]。
これらのポジションはレバレッジを極限まで高められている。攻撃者の7つのアドレスのヘルスファクターは1.01から1.03の範囲であり、わずかに清算閾値を上回る状態だった[3]。これは、AaveのE-ModeがrsETHに対して93%のLTV(貸出価値比)を設定し、清算閾値が95%であるため、安全バッファはわずか2ポイントに過ぎないためである。
各アドレスの二つの市場における詳細は以下の通り:
表 1:攻撃者のAave二市場におけるrsETH供給とWETH/wstETH借出明細
データ出典:オンチェーンデータ集計、Etherscan、Arbiscan、DeBankを統合。2026年4月22日16:51 UTC時点。USD価値は各取引時点のトークン価格を反映。
連鎖効果:ブリッジ脆弱性が五つのチェーンのWETHを凍結させた経緯
以下の図は、連鎖の全体像を示している。ステップ1と2(ブリッジ脆弱性とAaveへの担保預入)は前述の背景部分で紹介済み。本節ではステップ3から5に焦点を当てる:なぜWETHを凍結しなければならなかったのか、どのパラメータが連鎖の深刻さを形成したのか、そして凍結の実際のコストは何か。
図 1:ブリッジ脆弱性から五つのチェーンのWETH凍結までの連鎖フロー
なぜWETHを凍結する必要があったのか
4月19日、AaveのProtocol GuardianはAave V3とV4のすべてのrsETHとwrsETH市場を凍結し、新たな担保としてrsETHを用いた借入と預入を禁止した[8]。これは予想された最初の対応だった。
しかし、意外な第二の措置が4月20日に発生:Ethereum、Arbitrum、Base、Mantle、Linea上のWETHリザーブを凍結した[3]。
なぜWETHを凍結したのか?これは攻撃を受けていない資産であり、クロスチェーンブリッジとは無関係の資産である。攻撃者が預けたrsETHは、源チェーンの資産に対応せずに発行されたものであるためだ。Aaveのオラクルはこれらのトークンに対して完全な市場価格を維持し、正規のブリッジされたrsETHと区別できない有効な担保とみなしている。攻撃者はこの情報の非対称性を利用し、システムレベルで無担保負債の担保として実際のWETHを借り出した。これにより、借入プールのWETHが枯渇し、利用率が100%に達した。利用率が満杯になると、既存のWETH預金者は引き出しできず、清算者も清算に必要な資産を得られなくなる。清算メカニズムは、バッドデットに対する防御の核心であるが、実質的に機能停止している[3]。
WETHの借入を開放したままにしておくと、他のチェーン上の流動性プールも同じ仕組みで枯渇する可能性がある:rsETHを預けてWETHを借り、退出する。WETHの凍結は選択肢ではなく、被害を抑える唯一の手段である。
連鎖を形成する三つのパラメータ
この連鎖の深刻さは偶然ではない。三つのプロトコルパラメータが、直接的な損害の規模と連鎖の範囲を決定している。
AaveのE-ModeはrsETHに対して93%のLTVを設定しており、汚染されたrsETH1ドルの預入ごとに0.93ドルのWETHを借り出せる。比較として、同時期のSpark ProtocolのrsETH LTVは72%、Fluidは約75%[3]。Aaveの設定は市場で最も積極的である。
これは慎重に設計された決定であり、過失ではない。2026年1月、AaveのガバナンスはrsETHのE-Mode LTVを92.5%から93%に引き上げ、既に薄い安全バッファをさらに圧縮し、2.5%から2%に縮小した[8]。基本(非E-Mode)のLTVは意図的に0.05%に設定されており、実質的にすべての有意義なrsETH借入は高LTVのE-Mode経由で行われる。
同じ金額の借入でも、ターゲットプールの深さによって影響は大きく異なる。
表 2:各チェーンのAave V3 WETHリザーブ規模と攻撃者の直接引き出し比率
攻撃者はAave V3のrsETHのみを預け入れた。Aave V4(2026年3月にEthereumに展開)は、rsETHの予防的凍結により、表には反映されていない[3]。WETHリザーブのデータはLlamaRiskから取得;攻撃者の借入データは上記のアドレス詳細表から。
攻撃者はEthereum CoreとArbitrumで借入を集中させている。しかし、重要なのは、rsETHがMantle、Base、Linea上で担保として受け入れられていることだ。これらのチェーンの底層ブリッジ支援が破壊されると、これらのチェーン上のrsETH担保ポジションは潜在的な不良債権リスクに直面する。Aaveがこれら五つのチェーンすべてでWETHの予防凍結を決定したのは合理的な対応である:これらの市場を開いたままにしておくと、EthereumとArbitrumで検証された同じ引き出しメカニズムに曝されることになる[3, 8]。
rsETHは、Aave V3の23市場中11市場で担保として登録されており、そのうち7市場は実質的なエクスポージャーを持つ[3]。攻撃者は2つのチェーンのみで操作したが、予防的なWETH凍結は少なくとも5つのチェーンに波及し、攻撃者が預けていない市場も含む。LTVは各チェーンからの引き出し量を決定し、プールの深さは各市場の衝撃度を左右する。しかし、最終的に凍結の範囲を決めるのは、rsETHがいくつのリンクで担保として受け入れられているかである。
これらのパラメータは静的ではない。攻撃前の9日前、4月9日にAaveのリスク管理者はrsETHの供給上限を引き上げた:Ethereum Coreは48万から53万に、Mantleは5.2万から7万に[3]。これは因果関係を示すものではなく(攻撃者の準備期間はこれらの調整よりも早い可能性が高い)が、通常のパラメータ調整が将来のイベントの影響範囲を無意識に拡大させることを示している。
凍結の実際の影響
結果として、2.9億ドルのブリッジ脆弱性により、五つのチェーンのWETH流動性が凍結され、影響を受けた市場の合計預金は67億ドルを超えた。
直接的な損失は攻撃者の借入額に限定されるが、DeFiの借入において凍結は軽微な運用停止ではない。これはユーザの流動性をロックし、引き出しを妨害し、アクティブなポジションを混乱させ、バッドデットに対する清算メカニズムを弱体化させる。大多数の影響を受けたユーザはrsETHやKelpDAO、クロスチェーンブリッジに関与したことがなく、AaveのWETH預金者・借入者であり、彼らは合理的に理解していた借入市場に参加していた。
WETHはDeFiの最も基本的な流動性資産である。これを凍結することは、最大の銀行の引き出し口を閉じるのと同じであり、理由は、他の金融機関がほとんど知らない商品を使った詐欺に遭ったためだ。
LlamaRiskの事件報告 [3] は、各チェーンのショートフォール予測を示す二つの悪債シナリオモデルを構築し、最も詳細なリスク伝播分析を提供している。しかし、その分析も潜在的な不良債権に焦点を当てており、凍結による運用コスト(引き出しロック、ポジションの阻害、清算能力の低下)については十分に考慮されていない。連鎖の全体的な影響の定量化は未解決の課題である。
攻撃の連鎖は複雑であると同時に、復旧も容易ではない。合成性は破壊を制約する一方、修復も制約する。Aaveは単純に「全て解凍」できない。各市場は個別に評価され、ローカルのrsETHエクスポージャ、WETHの利用率、攻撃者の活動状況に応じてリスクを判断しなければならない。時間経過の例は次の通り:
4月19日:Protocol GuardianはAave V3とV4のすべてのrsETHとwrsETHリザーブを凍結[8]。
4月20日:Ethereum、Arbitrum、Base、Mantle、Linea上のWETHが凍結[8]。
4月21日:Ethereum Core V3のWETHのみ解凍され、LTVは予防措置として0に設定された。その他のチェーンのWETHは引き続き凍結状態[6]。
攻撃から4日後、6つの影響を受けた市場のうち解凍されたのは1つだけだった。復旧の道筋は攻撃と同じ複雑さを持ち、段階的に進められる:各プロトコル、各チェーンごとに逐次進行し、各ステップにはガバナンスの調整とリスク評価が必要である。
緊急対応:Arbitrumは署名なしで30,766 ETHを移転したのか
Aaveの借入連鎖の対応と並行して、Arbitrumでも平行の対応が行われた。4月21日、Arbitrum Security Councilは緊急措置として、攻撃者がArbitrum One上に保有する30,766 ETHを凍結した[7]。これらの資金は中間凍結アドレス(0x…0DA0)に移され、その後のArbitrumガバナンス投票によって処理される予定である[7]。
ガバナンス行動
Arbitrum Security CouncilはArbitrum DAOの正式な構成要素であり、外部主体や臨時委員会ではない。この緊急措置はArbitrumガバナンスフォーラムで公開され、攻撃者の身元確認後に実行された[6]。詳細な取引情報も公開され、誰でも検証可能である。Security Councilはその権限内で行動し、「Arbitrumコミュニティの安全性と完全性へのコミットメントを示しつつ、いかなるArbitrumユーザやアプリケーションにも影響を与えないよう配慮した」[6]。
これは密室の決定ではなく、ガバナンスによる正式な権限付与を受けた透明な行動であり、オンチェーン証拠も明白である。
技術的仕組み
この行動の注目点は、ガバナンス決定そのものではなく、そのチェーン上での実行方式にある。BlockSecのPhalcon trace分析 [9] に基づき、Security Councilは次の三段階の原子化操作を採用した。
アップグレード実行者は一時的にEthereum inboxコントラクト(DelayedInbox)をアップグレードし、新たにsendUnsignedTransactionOverrideという関数を追加した。
この関数は、攻撃者のアドレスを偽装したクロスチェーンメッセージの作成に用いられた。メッセージはBridge.enqueueDelayedMessageに注入され、kind=3はArbitrum NitroスタックのL1MessageType_L2Messageに対応する。このメッセージタイプは、L2上でL2MessageKind_UnsignedUserTxを実行することを許可する。重要なのは、この経路には署名検証が不要な点である。senderパラメータは標準のmsg.senderから呼び出し者制御の入力に切り替わり、L1→L2のアドレス別名変換を通じて攻撃者のアドレスコンテキストを持つ。
L2上での送金完了後、inboxコントラクトは元の実装に復元された。
L1取引 [4] とそれに伴うL2取引 [5] はPhalcon Explorerで公開可能。L2取引は「攻撃者から0x…0DA0へ」と表示されるが、これは標準的な署名付き送金ではなく、チェーンレベルの強制状態遷移である。ガバナンスレベルのインフラアップグレードにより、資産所有者の秘密鍵を必要とせずに資産を移動させることが可能となった。
分散化のジレンマ
この仕組みの根底にあるのは非常に単純な原理:アップグレード可能なコントラクトは無限の能力を持つ。もしコントラクトがアップグレード可能なら、その行動は何でもできる。所有者の署名なしに資産を移動することも含まれる。これは、アップグレード可能なコントラクトを基盤とするシステムの固有の能力である。現在、30,766 ETHは凍結アドレスに預けられている。今後のArbitrumガバナンス投票によってその処理方法が決定される。原子化されたアップグレード・実行・復元のパターンは、inboxコントラクトに永続的な変更を残さず、他のユーザやアプリに影響を与えない[6]。
多くの合理的評価によれば、Arbitrum Security Councilの行動は正しかったと考えられる。攻撃者は国家レベルの行為者と認定され、法執行機関も関与し、ガバナンスは公開され透明であり、1,710万ドルの盗難資産は回収または少なくともマネーロンダリングの阻止に成功した。
しかし、この能力を可能にした仕組みは、今回のケースに限らず、広く適用可能である。同じアップグレード・実行・復元のメカニズムは、原則としてArbitrum One上の任意のアドレスの資産を移動できる。Security Councilの権限は攻撃者のアドレスや盗難資金に限定されず、ガバナンス規範に従う普遍的な能力である。
これがジレンマの核心だ。ユーザはL2とやり取りする際、「自分の資産は私の秘密鍵で管理されており、署名なしでは誰も移動できない」という暗黙の心理モデルを持っている。しかし、KelpDAOの緊急対応はこのモデルが不完全であることを示した。Arbitrumや他のアップグレード可能なブリッジコントラクトとSecurity Councilを持つL2では、署名検証を完全に回避したガバナンス行動によって資産が移動可能である。
Arbitrumは例外ではない。Aaveの市場凍結も同様にガバナンス駆動の緊急措置である。KelpDAO事件では、複数のプロトコルが中心化された緊急権限を行使した:Aaveは五つのチェーンの市場を凍結し、Arbitrum Security Councilは強制的に資金を移動し、KelpDAOは全体のコントラクトを一時停止した。これらの対応は効果的で透明であり、必要なものであったと同時に、「permissionless」存在の実際の境界を明示した。
問題は、緊急権限が存在すべきかどうかではなく、その範囲、発動条件、責任追及の仕組みが十分に透明かどうかである。L2に資産を預けるユーザは、次の基本的な問いに答えられるべきだ:「私の資産は私の秘密鍵で管理されているが、どの条件下でSecurity Councilは私の資金を移動できるのか?私には何の追及権があるのか?」
盗難資金の現状
独立したオンチェーン追跡(完全な可視化はMetaSleuth [11]参照)によると、攻撃者は116,500 rsETHを7つの一次アドレスに分散させ、その大部分をAave(Ethereum CoreとArbitrum)に預けてWETHとwstETHを担保に借り出し、少量のDEXを通じて交換し、2つのチェーンの同一アドレス(0x5d39…7ccc)に集約している。2026年4月22日05:42 UTC時点で、盗難資金は以下の4つの状態に分かれている。
表 3:盗難資金の4つの状態分布(2026年4月22日05:42 UTC)
うち約31%は凍結または阻止されており、23%はEthereumの未動のアドレスに留まり、46%は既にまたは現在分散して103の一次下流アドレスに移動中である。攻撃者はAaveのrsETH担保を未だ引き出しておらず、借りたWETHとwstETHも返済されていない。借入ポジションは放棄された状態だ。
KelpDAO事件の因果関係は、「分散化」技術スタックの三層を貫いている。
出発点は単点依存である。KelpDAOの1-of-1 DVN構成はクロスチェーン検証を単一のエンティティに縮小し、橋全体を侵害可能にした。構造は分散化を支持しているが、設定はそうなっていなかった。
合成性は次に、ブリッジ脆弱性をシステム的流動性危機に進化させた。攻撃はDeFiの最も基本的な資産であるWETHを凍結させ、五つのチェーンに波及し、数十億ドルの流動性に影響を与え、rsETHやKelpDAOと無関係なユーザも巻き込んだ。連鎖の範囲は、激進なLTV設定、浅いプール、広範なクロスチェーン担保展開といったパラメータによって形成された。
危機の規模は、分散型ガバナンスが中心化された緊急権限を行使する必要性を高めた。Arbitrum Security Councilはガバナンスによる原子化合約のアップグレードを通じて資金を移動し、Aaveは市場を凍結し、KelpDAOは全体を一時停止した。これらの対応は効果的で透明であり、必要なものであったと同時に、「permissionless」システムの実際の境界を示す明確な証拠である。
このジレンマは、攻撃の可能性を高める単点依存と、損害を拡大させる合成性、そしてそれに伴う中心化権力の露呈に由来する。これらの問題に対処するには、関係者が協力して行動する必要がある。
・プロトコル側:全体の安全性は最も脆弱な部分に依存している。今回の事件ではDVNインフラが短所であり、コードの安全性だけでなくインフラの安全性、鍵管理、運用安全も含めたシステム全体の評価とペネトレーションテストが必要である。オンチェーン監視は数分以内に緊急対応を促し、迅速な資金追跡は資産凍結と回収に不可欠だ。借入プロトコルにおいては、クロスチェーン合成資産の担保は「担保品完全陥落」シナリオを想定し、前述の三つのパラメータ(LTV、プール深さ、クロス展開数)を用いたストレステストを行うべきだ。
・L2ガバナンスとDAO:緊急権限は透明性と責任追及性を持つべきだ。多くの主要L2はこの能力を備えているが、技術文書に埋もれ、ユーザ向け資料には明示されていないことが多い。ガバナンスフレームワークは、発動条件、範囲、時間制約、事後責任追及の要件を明文化すべきだ。
・ユーザ側:DeFiの合成性に内在するシステムリスクを理解すべきだ。今回の事件では、rsETHに関わったことのないWETH預金者が5つのチェーンで流動性を凍結された。単一ポジションのリスクは全体像の一部に過ぎず、あなたの資産が関わるプロトコル、プール、担保タイプ、チェーンの相互関係がリスクの全貌を構成している。
参考資料
[10] LayerZero Core, “KelpDAO Incident Statement”:
[1] KelpDAO, “April 18 Incident: Additional Context”:
[2] LlamaRisk, “rsETH Incident Report” [3]April 20, 2026(:
) BlockSec Phalcon Explorer, L1 Transaction [4]Arbitrum Security Council action(:
) BlockSec Phalcon Explorer, L2 Transaction [5]Arbitrum forced transfer(:
) Arbitrum, “Security Council Emergency Action”:
[6] Arbitrum Governance Forum, “Security Council Emergency Action 21/04/2026”:
[7] Aave, rsETH incident updates [8]April 19-21, 2026(:
) BlockSec Phalcon, “Arbitrum Security Council freeze analysis”:
[9] banteg, “Kelp rsETH Unichain → Ethereum Path Investigation”:
[10] MetaSleuth, KelpDAO exploit trace: