2026年4月、DeFi(分散型金融)エコシステムに衝撃が走りました。リキッドステーキングサービスを提供するKelpDAOのシステムにおける脆弱性を悪用した攻撃により、約2億9,200万ドル(約450億円以上)相当のrsETHトークンが不正に生成され、大手レンディングプロトコルAaveに大きな影響を与えました。この事態を受け、Aaveは「DeFi United」と称する連携体制を構築し、Lido FinanceやEtherFiといった主要なDeFiプロジェクトと協力して、不良債権の発生と市場の不安定化を防ぐための緊急対応を進めています。今回の事件は、DeFiの相互接続性と脆弱性管理の重要性を改めて浮き彫りにしています。
2026年最大規模のDeFiハッキング:KelpDAOとAaveへの影響
2026年4月18日、DeFi業界で今年最大規模となる約2億9,200万ドル相当の資産が関連する大規模なエクスプロイトが発生しました。この攻撃は、リキッドリステーキングプロトコルKelpDAOのシステムを通じて、無担保のrsETHトークンが不正に発行されたことに端を発します。攻撃者はこの不正なrsETHトークンを担保として、DeFi市場で最大級のレンディングプロトコルであるAaveから大量のイーサリアム(ETH)を借り入れました。
Aaveは、ユーザーが資産を預け入れて利息を得たり、担保として別の資産を借り入れたりできる分散型レンディングプラットフォームです。今回の事件では、Aaveのスマートコントラクト自体が直接的に攻撃されたわけではありませんが、信頼されていた担保(rsETH)が無価値であることが判明したため、Aaveプロトコルは巨額の不良債権を抱える危機に直面しました。これにより、AaveのV3およびV4のrsETH市場が凍結され、DeFi市場全体に波紋が広がっています。具体的には、このエクスプロイトにより、Aaveが抱える潜在的な不良債権は1億2,370万ドルから2億3,010万ドルに及ぶ可能性があると報じられています。
無担保rsETHの悪用とAaveの脆弱性
今回のハッキングは、KelpDAOが利用するクロスチェーンメッセージングプロトコルLayerZeroの統合部分における脆弱性を悪用したものです。攻撃者はKelpDAOのシステムにおいて、本来裏付けとなるべき資産なしに116,500ものrsETHトークンを不正に発行しました。rsETHは、KelpDAOが提供するリキッドリステーキングトークンであり、イーサリアム(ETH)のリステーキングを通じてイールド(利回り)を生み出すように設計されています。
攻撃者は、この無担保のrsETHトークンをAaveプロトコルに担保として預け入れ、イーサリアムやその他の資産を約1億9,000万ドル相当借り入れました。Aaveは通常、預け入れられた担保が十分な価値を持つことを前提としていますが、今回の場合、担保であるrsETHが無価値であることが明らかになったため、プロトコルは実質的に回収不能なローンを抱えることになりました。これにより、Aaveに預け入れられていた他のユーザーの資産の引き出しが加速し、市場の流動性危機が懸念されています。Aaveは事態を受け、rsETHおよびwrsETHの準備金を凍結し、WETHの金利モデルを調整するなど、追加の措置を講じています。
「DeFi United」結成:Aaveと主要パートナーの連携
この未曾有の事態に対し、AaveおよびDeFiコミュニティは迅速な対応を見せています。Aaveのサービスプロバイダー主導で「DeFi United」と名付けられた連携体制が構築され、エコシステム全体で協力して問題解決にあたっています。このイニシアチブの主な目的は、不正に発行されたrsETHの裏付けを回復させ、Aaveにおける不良債権の発生を防止することです。Aaveは、この取り組みに対してすでに複数の参加者から支援のコミットメントを得ているとX(旧Twitter)上で発表しました。
Aaveの創設者であるStani Kulechov氏も自身のXアカウントで、この問題の解決に全力を尽くす意向を表明し、自身も5,000ETHの拠出を提案しました。彼は「Aaveは私のライフワークであり、ユーザーにとって最善の結果を見つけるために昼夜を問わず取り組んでいる」と述べ、早期の解決と市場状況の正常化に向けて尽力する姿勢を示しています。この「DeFi United」の動きは、DeFiエコシステムが直面する課題に対して、個別プロジェクトだけでなく、コミュニティ全体で連携して対処する能力を持つことを示しています。
Lido FinanceとEtherFiからの具体的な支援策
「DeFi United」の枠組みの中で、主要なDeFiプロジェクトであるLido FinanceとEtherFiが具体的な支援策を打ち出しました。
最初に支援を表明したのは、リキッドステーキングプロトコルの大手であるLido Financeです。LidoのエコシステムコントリビューターであるLido Labs Foundationは、最大2,500 stETH(現在の価格で約570万ドル相当)を専用の救援車両に割り当てることを提案しました。この資金は、rsETHの裏付け不足を解消し、レンディング市場全体での強制清算を防止するために使用される予定です。stETHは、Lidoを通じてステーキングされたETHを表すトークンであり、Lidoエコシステムの規模と影響力を考慮すると、この支援は非常に大きな意味を持ちます。
Lidoに続き、リキッドリステーキングプロトコルのEtherFiも、DeFiエコシステム全体で「ユーザーを保護し、不良債権を防ぐ」ことを目的とした5,000ETHの拠出計画を提案しました。これらの支援は、Aaveが抱える担保不足の問題を軽減し、連鎖的な市場パニックを防ぐ上で極めて重要です。このような競争相手ともなりうるプロジェクトが協力して問題解決にあたる姿勢は、DeFiコミュニティの強固な相互支援の精神を示しています。
レイヤーゼロ(LayerZero)の役割と技術的背景
今回のエクスプロイトの技術的な根本原因は、KelpDAOがrsETHのクロスチェーン転送に利用していたLayerZeroのシステムにおける脆弱性、特にDVN(分散型検証ネットワーク)設定にありました。LayerZeroは、異なるブロックチェーン間で資産やメッセージを安全に転送するためのインフラストラクチャを提供していますが、KelpDAOの統合においては、1-of-1 DVNという設定が用いられていました。この設定は、単一の検証者(DVN)のみでクロスチェーン取引を承認するものであり、セキュリティ上のリスクが高いと指摘されていました。
KelpDAOは、LayerZeroが提供するデフォルトのDVN設定に従っていたと主張しており、問題の根源はLayerZeroの設計にあると示唆しています。攻撃者はこの単一検証者の脆弱性を突き、LayerZeroのメッセージングシステムを悪用して、KelpDAOのシステムを騙し、裏付けのないrsETHトークンの発行に成功しました。この事件は、クロスチェーンブリッジのセキュリティ設計の複雑さと、それに伴う潜在的なリスクを浮き彫りにしました。DeFiエコシステムの相互運用性が高まるにつれて、このようなブリッジ技術の堅牢性と、その実装におけるセキュリティベストプラクティスの遵守がますます重要になります。
不良債権リスクとDeFi市場の安定化に向けた課題
今回のKelpDAOハッキング事件は、DeFi市場における不良債権(Bad Debt)リスクを顕在化させました。無担保のrsETHがAaveの担保として利用されたことで、Aaveは返済されない可能性のあるローンを抱えることになり、その規模は最大で2億3,010万ドルに達する可能性があります。不良債権が拡大すると、プロトコルの流動性が低下し、担保の強制清算が連鎖的に発生するリスクが高まります。これは市場全体に不確実性をもたらし、DeFi市場の信頼性を損なう可能性があります。
AaveおよびDeFi Unitedの取り組みは、この不良債権リスクを軽減し、市場の安定を維持するための緊急措置です。Lido FinanceやEtherFiからの支援は、短期的な流動性供給に貢献し、強制清算の波を防ぐことを目的としています。しかし、長期的な視点では、DeFiプロトコルはクロスチェーン統合におけるセキュリティ評価をさらに強化し、潜在的な脆弱性を事前に特定し、軽減するメカニズムを構築する必要があります。また、担保資産の健全性を定期的に監査し、異常事態が発生した場合の迅速な対応計画を策定することが不可欠です。今回の事件は、DeFiエコシステム全体のセキュリティ体制とリスク管理の再評価を促すものとなるでしょう。
まとめ
2026年4月に発生したKelpDAOのハッキングは、DeFi市場に2億9,200万ドル規模の大きな衝撃を与えました。この攻撃により、Aaveは無担保のrsETHを担保とした不良債権リスクに直面しましたが、迅速な対応として「DeFi United」が結成され、Lido FinanceやEtherFiといった主要プロジェクトが緊急支援に乗り出しています。Lidoは2,500 stETH、EtherFiとAaveの創設者Stani Kulechov氏はそれぞれ5,000 ETHを拠出し、不良債権の穴埋めと市場安定化を目指しています。今回の事件は、クロスチェーンブリッジのセキュリティ、担保資産の健全性、そしてDeFiエコシステムにおける相互協力の重要性を改めて浮き彫りにしました。今後、DeFiプロトコルはより強固なセキュリティ対策とリスク管理体制を構築し、同様の事態を防ぐための取り組みが加速するでしょう。DeFiの相互接続性が進化する中で、今回の教訓を活かし、より安全で持続可能なエコシステムの構築が求められています。
