2026年4月19日、大手DeFi貸付プロトコルであるAaveが、わずか1日で総ロック額(TVL)約66億ドルの急落を記録しました。この原因は、Kelpプロトコルのクロスチェーンブリッジから盗まれたrsETHがAave V3上で不正な担保として利用され、大量のラップドイーサ(WETH)が借り出されたことにあります。この事件は、Aave自体のスマートコントラクトの脆弱性によるものではないものの、DeFiエコシステムにおける流動性リステーキングトークン(LRT)の構造的リスクと、プロトコル間の相互依存性がもたらす潜在的な連鎖反応を強く示唆しています。
事件の概要:AaveのTVL急落とKelpハックの影響
CoinDeskの報道によると、AaveのTVLは4月18日の264億ドルから、翌日には約200億ドルまで急落しました。これに伴い、AAVEトークンの価格も16%下落し、一時は92ドルを記録。週末にかけては清算が相次ぎ、1日の手数料が199万ドルにまで跳ね上がりました。この大規模な資金流出の引き金となったのは、Aaveが直接ハッキングされたわけではないにもかかわらず、外部プロトコルの脆弱性が悪用されたことによる「悪性債務(bad debt)」の発生です。
事件の発端は、Kelpプロトコルのブリッジから約116,500 rsETH(当時の価値で約2億9,200万ドル)が盗まれたことにあります。攻撃者はこの盗んだrsETHをAave V3の担保として預け入れ、大量のWETHを借入。この行為により、Aaveに約1億9,600万ドルもの悪性債務が集中して発生しました。同様の被害は、CompoundやEulerといった他の主要な貸付プロトコルにも波及し、合計で約2億3,600万ドルのポジションが影響を受けたと言われています。
KelpとrsETHとは?リステーキングプロトコルの仕組み
Kelpは、イーサリアムの流動性リステーキングプロトコルであり、ユーザーが既にステーキングしているEtherをEigenLayerを通じて別のイールド生成システムにルーティングし、その見返りとして「rsETH」というレシートトークンを発行します。rsETHのようなLRTは、ユーザーにステーキング報酬とDeFiプロトコルでのさらなるイールド機会の両方を提供することで、資本効率を高めることを目的としています。
これらのLRTは、分散型取引所(DEX)で取引されたり、Aaveのような貸付プロトコルで担保として利用されたりするなど、DeFiエコシステム内で広範に活用されています。しかし、その利便性の裏には、基礎となるアセット(この場合はETH)の価値だけでなく、リステーキングプロトコル自体のセキュリティ、ブリッジの信頼性、そしてスマートコントラクトのリスクが複合的に絡み合う、複雑なリスク構造が存在します。
なぜAaveは被害を受けたのか:構造的リスクの露呈
今回の事件でAaveのスマートコントラクト自体が侵害されたわけではありませんが、盗まれたrsETHが正当な担保として扱われたことで、プロトコルに悪性債務が発生しました。AaveはDeFiにおける最大の貸付プロトコルであり、ユーザーは暗号資産を預け入れて利回りを得たり、担保を差し入れて別の資産を借り入れたりします。この仕組みは、担保の価値が健全であるという前提の上に成り立っています。
しかし、今回のように担保として差し入れられたLRTの裏付けとなるアセットが不正に取得された場合、その担保は実質的に無価値となり、プロトコルは貸し付けた資産を回収できない「悪性債務」を抱えることになります。Aaveには「Umbrella reserve」と呼ばれる準備金が存在しますが、今回の1億9,600万ドルという損失を完全にカバーできるかどうかは不透明です。もしカバーできない場合、stkAAVE(Aaveのステーキングトークン)保有者が損失を吸収する可能性も指摘されており、LRTがDeFi全体にもたらすシステミックリスクが改めて浮き彫りになりました。
オンチェーンデータが示す被害の規模
DefiLlamaのデータによると、AaveのTVLは4月18日に264億ドルでしたが、わずか1日で約200億ドルにまで減少しました。AAVEトークン価格も16%下落し、92ドルとなりました。日次手数料は清算の波により199万ドルに急増しました。攻撃者はKelpのブリッジから盗んだ116,500 rsETH(約2億9,200万ドル相当)をAave V3に担保として預け入れ、ラップドイーサを借入しました。オンチェーンの追跡では、Aave特有の借入額は約1億9,600万ドルに上り、Aave、Compound、Eulerを合わせた総ポジションは約2億3,600万ドルとされています。Aaveの貸付帳簿は22のチェーンにまたがっていますが、未払い借入額178.2億ドルのうち、イーサリアムだけで142.4億ドルを占めています。WETHはプロトコル全体の借入の39.49%を占めており、これが今回の被害がWETHに集中した理由を説明しています。
Aaveの対応と今後の課題
Aaveは当初、Umbrella reserveが不足分をカバーすると発表しましたが、その後「不足分を相殺する道を模索する」という表現に軟化しました。これは、問題の解決が当初の想定よりも複雑である可能性を示唆しています。Aaveは、今回の事件を受けて、プロトコルのリスクパラメータの見直しや、LRTのような新しい種類の担保に対するリスク評価フレームワークの強化が求められるでしょう。特に、担保として受け入れる資産の流動性、価格の安定性、そして基盤となるプロトコルのセキュリティについて、より厳格な審査基準が必要となるかもしれません。
また、このような事件は、分散型ガバナンスの役割にも影響を与えます。プロトコルの将来や損失の処理方法について、stkAAVE保有者を含むコミュニティがどのような意思決定を行うか、注目されます。迅速かつ透明性のある対応は、ユーザーの信頼を維持する上で不可欠です。
DeFiエコシステム全体への影響と教訓
今回のKelpハックとそれに伴うAaveのTVL急落は、個別のプロトコル問題にとどまらず、DeFiエコシステム全体が直面する構造的リスクを浮き彫りにしました。特に、以下のような重要な教訓が得られます。
- LRTのシステミックリスク: rsETHのようなLRTは資本効率を高める一方で、基盤となるステーキングプロトコルやブリッジの脆弱性が、そのLRTを担保として受け入れている貸付プロトコルに連鎖的な影響を及ぼす可能性があります。LRTの採用が広がるにつれて、そのリスク管理はより一層重要になります。
- プロトコル間の相互依存性: DeFiは相互接続されたブロックの集合体であり、あるプロトコルの問題が他のプロトコルに容易に波及します。これは、エコシステム全体のレジリエンス(回復力)を高めるための、より包括的なリスク評価と監視システムの必要性を示唆しています。
- ブリッジセキュリティの重要性: 今回の事件は、クロスチェーンブリッジのセキュリティがDeFiの安定性にとって極めて重要であることを再確認させました。ブリッジは異なるブロックチェーンエコシステムを繋ぐ生命線であると同時に、攻撃者にとって魅力的なターゲットとなります。堅牢な監査と継続的なセキュリティ強化が不可欠です。
- 担保リスク管理の再考: 貸付プロトコルは、担保として受け入れる資産の種類と品質について、より厳格な基準を設ける必要があります。特に、新しい種類のトークンや合成資産を扱う際には、その固有のリスクを十分に理解し、適切なリスクヘッジメカニズムを導入することが求められます。
まとめ
2026年4月に発生したKelpハックとそれに伴うAaveのTVL急落は、DeFiエコシステムが抱える流動性リステーキングトークンの構造的リスクとプロトコル間の相互依存性を痛感させる出来事となりました。Aave自体が直接ハッキングされたわけではないものの、外部の脆弱性が原因で数億ドル規模の悪性債務を抱える可能性が露呈し、LRTの利用に伴うリスク管理の重要性が改めて強調されました。今後、DeFiプロトコルは、より堅牢なセキュリティ対策、厳格なリスク評価、そして効果的な損失回復メカニズムの構築に注力し、ユーザーの信頼を確保していく必要があります。この事件は、DeFiが進化を続ける上で避けては通れない課題であり、エコシステム全体の成熟を促す重要な転換点となるでしょう。
