分散型金融(DeFi)の進化は目覚ましいものがありますが、その一方でセキュリティの脆弱性を狙った攻撃も後を絶ちません。2026年4月、ケルプDAO(KelpDAO)が大規模な不正流出の被害に遭い、約2億9,200万ドル(約450億円相当)もの資産が奪われました。この事件は、DeFiプロトコルの相互接続性が高まる中で、単一の弱点がシステム全体に甚大な影響を及ぼす可能性を示しており、DeFiのセキュリティに対する信頼を改めて揺るがすものとなりました。
2026年のDeFiセキュリティの現状とケルプDAOエクスプロイトの衝撃
2026年は、DeFiにとって「ハッキングに関して最悪の年」になる可能性が指摘されており、ケルプDAOの不正流出事件はその懸念を裏付ける形となりました。この事件は、相互接続されたDeFiエコシステムにおける単一障害点(Single Point of Failure)が、いかに連鎖的な問題を引き起こすかを浮き彫りにしています。LedgerのCTOであるチャールズ・ギルマン氏(Charles Guillemet)が指摘するように、DeFiプロトコルが複雑に絡み合うことで、一つの脆弱性が広範囲に波及し、甚大な被害につながるリスクが高まっています。
ケルプDAOは、リキッド・リステーキング・プロトコルとして、ユーザーがイーサリアム(ETH)などの資産をリステーキングする一方で、rsETHトークンを通じて流動性を維持できるサービスを提供していました。しかし、このrsETHトークンと、異なるブロックチェーン間での資産移動を可能にするメカニズムが攻撃の標的となり、多額の資金が不正に引き出される結果となりました。この事件は、DeFi分野におけるセキュリティ対策の強化が喫緊の課題であることを改めて認識させます。
ケルプDAOエクスプロイトの概要と被害額
CoinDeskの報道によると、今回の不正流出は週末に発生し、約2億9,200万ドルの被害が確認されています。この大規模な事件は、分散型金融(DeFi)インフラストラクチャに内在する脆弱性を露呈させ、レンディングプロトコル全体への連鎖的な影響に対する懸念を高めました。攻撃の詳細な調査は進行中ですが、初期の分析では、ケルプDAOのrsETHトークン、すなわちイールドベアリング型イーサリアムと、ブロックチェーン間で資産を移動させるために使用されるメカニズムが標的となったとされています。
攻撃者はこのシステムを悪用し、裏付けのない大量のrsETHトークンを不正に発行。それらを担保として利用し、Aave(アーベ)などの主要な分散型レンディング市場から実際の資産を借り入れ、流出させたと見られています。この事件は、わずか数週間前に発生したSolanaベースのプロトコルであるDriftに対する2億8,500万ドル規模の不正流出に続くものであり、約900億ドル規模の暗号資産セクターに対する投資家の信頼をさらに損なうこととなりました。
攻撃の手口:rsETHとLayerZeroブリッジの脆弱性
今回のケルプDAOへの攻撃は、LayerZeroブリッジのコンポーネントが標的とされたと、ハードウェアウォレットメーカーLedgerのCTOであるチャールズ・ギルマン氏がCoinDeskに説明しています。ブリッジは、通常、あるブロックチェーン上で資産をロックし、別のブロックチェーン上で同等のトークンをミント(発行)することで機能します。このプロセスは、預け入れの確認を行う信頼されたエンティティ(オラクルまたはバリデーター)に依存しています。
ケルプDAOの場合、この検証者の役割を実質的にケルプDAO自身が担っていました。ギルマン氏によると、このシステムは単一署名者(Single-Signer)のセットアップに依存しており、これは単一のエンティティのみが全てのトランザクションを承認できることを意味します。攻撃者はこの脆弱性を突き、「メッセージを署名し、大量のrsETHをミントすることに成功した」とされています。どのようにしてこのアクセス権が取得されたかは、現時点では不明です。この手口は、DeFiブリッジの設計における根本的なセキュリティリスクを浮き彫りにするものです。
単一署名者モデルが招いたリスク
今回のケルプDAOの不正流出事件で特に注目されるのは、システムが採用していた単一署名者モデルが大きなリスク要因となった点です。Curve Financeの創設者であるマイケル・エゴロフ氏も、システムのこの弱点を指摘し、「単一のパーティーを信頼すると、物事が起こりうる」と警告しています。この設定により、攻撃者は対応する資産がソースチェーンにロックされていないにもかかわらず、実質的に裏付けのないトークンを作成することが可能となりました。
本来、DeFiプロトコルは分散化を志向しており、単一障害点のリスクを排除することが理想とされています。しかし、ブリッジや特定のプロトコルの運用において、効率性や実装の簡便さから単一署名者モデルが採用されるケースが依然として存在します。この事件は、そのような設計がハッキングの入り口となり得ることを明確に示しました。セキュリティと分散化のバランスは、DeFi開発者にとって常に課題であり、今回の教訓は、特にブリッジのようなクロスチェーンインフラにおいて、より堅牢な多重署名(Multi-Sig)や分散型検証メカニズムの導入が不可欠であることを示唆しています。
連鎖的な影響:Aaveなどのレンディングプロトコルへの波及
ケルプDAOから不正にミントされたrsETHトークンは、その直後にレンディングプロトコルに預け入れられ、実資産の借入れに利用されました。特に、最大の分散型暗号資産レンディングプラットフォームであるAave(アーベ)が主な被害対象となりました。攻撃者は、不正に手に入れたrsETHを担保としてAaveに預け入れ、そこからETHなどの流動性の高い資産を引き出したと見られています。この連鎖的な動きは、DeFiエコシステムの相互依存性の高さを示しています。
一つのプロトコルにおける脆弱性が、そのプロトコルに留まらず、連携する他のプロトコルにもリスクを波及させる可能性を内包しているのです。このようなサプライチェーン的な攻撃は、DeFiの急速な発展とともに顕在化してきた新たな脅威と言えるでしょう。各プロトコルは、自身のセキュリティだけでなく、連携する外部プロトコルのセキュリティモデルや潜在的なリスクについても、より厳格な評価とモニタリングを行う必要性が浮き彫りになりました。
他の著名なDeFiエクスプロイトとの比較:SolanaベースのDrift事件
2026年に入り、ケルプDAOの不正流出事件に先立つこと数週間前には、Solanaベースのデリバティブ取引プロトコルであるDrift(ドリフト)も大規模なハッキング被害に遭っています。この事件では、約2億8,500万ドルもの資金が流出しました。DriftのエクスプロイトとケルプDAOのエクスプロイトは、それぞれ異なるプロトコル、異なるブロックチェーン上で発生しましたが、共通しているのはDeFiプラットフォームが依然として狙われやすい攻撃対象であるという現実です。
これらの事件は、DeFiセクター全体の信頼を大きく揺るがすものとなりました。SolanaエコシステムやEthereumエコシステムといった主要なブロックチェーン上で次々と大規模なセキュリティインシデントが発生することは、投資家やユーザーがDeFiアプリケーションを利用する際の心理的なハードルを高める可能性があります。DeFiプロトコルは、単に機能を提供するだけでなく、ユーザー資産を保護するための最先端のセキュリティ対策と、迅速かつ透明性のあるインシデント対応計画を確立することが求められています。
DeFiエコシステムへの教訓と今後のセキュリティ対策
ケルプDAOやDriftのエクスプロイトは、DeFiエコシステム全体にとって貴重な教訓となります。最も重要な点は、プロトコルの相互接続性がもたらす「単一障害点」のリスクをいかに管理するか、という課題です。各プロトコルは、以下の点に注力してセキュリティを強化していく必要があるでしょう。
- 分散化の徹底: ブリッジやオラクルなど、クリティカルなコンポーネントにおいて単一署名者モデルを避け、多重署名や分散型検証メカニズムへの移行を加速させるべきです。
- 厳格なコード監査とバグバウンティ: リリース前の徹底的なコード監査と、ホワイトハッカーによる脆弱性発見を促すバグバウンティプログラムの継続的な実施が不可欠です。
- リスク管理とモニタリング: 連携する外部プロトコルやスマートコントラクトに対する継続的なリスク評価と、異常を検知するためのリアルタイムモニタリングシステムの強化が必要です。
- 緊急対応計画の確立: 万が一のインシデント発生時に備え、迅速な対応、透明性のある情報開示、そして被害を最小限に抑えるための明確な計画を策定・訓練しておくべきです。
これらの対策は、DeFiがより成熟し、幅広いユーザーに受け入れられるために不可欠なステップとなります。セキュリティはDeFiの信頼性の基盤であり、継続的な改善努力が求められます。
まとめ
2026年4月に発生したケルプDAOの約2億9,200万ドル規模の不正流出事件は、DeFiエコシステムが直面するセキュリティ上の課題を改めて浮き彫りにしました。この事件は、rsETHトークンとLayerZeroブリッジの単一署名者モデルの脆弱性を悪用し、裏付けのないトークンを生成、それを担保にAaveなどのレンディングプロトコルから実資産が流出するという手口でした。同時期に発生したDriftへの攻撃と合わせ、DeFiの相互接続性がもたらす連鎖的なリスクと、単一障害点の問題が顕在化しています。DeFiの信頼性向上のためには、分散化の徹底、厳格なコード監査、リスク管理の強化、そして緊急対応計画の確立が不可欠です。この教訓を活かし、より堅牢で安全なDeFiエコシステムの構築に向けた取り組みが加速することが期待されます。
