2026年、分散型金融(DeFi)業界は、リキッド・リステーキングプロトコルKelpDAOに対する大規模なサイバー攻撃により、過去最大級の被害に見舞われました。この約2.93億ドルに及ぶハッキング事件は、単なるスマートコントラクトの脆弱性にとどまらず、DeFiエコシステムのオフチェーンインフラストラクチャとクロスチェーン通信の根深い課題を露呈させ、業界全体のセキュリティ対策と成熟に向けた意識を大きく変える転機となっています。
事件の概要:KelpDAOハッキングの内幕
2026年4月18日、リキッド・リステーキングプロトコルKelpDAOは、約2.92億ドルから2.93億ドル相当のrsETHトークンを失う大規模なハッキング被害に遭いました。この事件は、2026年において最大のDeFiエクスプロイトとして記録されています。攻撃の背後には、悪名高い北朝鮮のハッカー集団であるLazarus Group、特にそのサブグループであるTraderTraitorの関与が指摘されており、国際的なサイバー犯罪の脅威がDeFi領域にも及んでいる現実を浮き彫りにしました。
KelpDAOは、ユーザーがイーサリアム(ETH)をリステーキングすることで、rsETHという流動性のあるトークンを受け取ることができるプロトコルです。これにより、ユーザーはリステーキング報酬を獲得しつつ、DeFiエコシステム内で資本効率を高めることが可能になります。今回の攻撃は、このような革新的なプロトコルの根幹を揺るがすものでした。
攻撃の手口:オフチェーンインフラとレイヤーゼロの脆弱性
今回のKelpDAOハッキングは、従来のDeFiスマートコントラクトの脆弱性を悪用したものではなく、より巧妙な手口が用いられました。攻撃者は、KelpDAOのオフチェーンインフラ、特にクロスチェーン通信プロトコルであるLayerZeroブリッジを標的としました。
具体的な攻撃手法は以下の通りです。
- 攻撃者はKelpDAOの内部Remote Procedure Call(RPC)ノードを侵害しました。
- 侵害されたRPCノードと同時にDistributed Denial of Service(DDoS)攻撃を仕掛けることで、システムの混乱を招きました。
- これにより、単一障害点(1-of-1 DVNセットアップ)として機能していた検証ネットワークに偽のデータが供給されました。
- 結果として、イーサリアムのスマートコントラクトが、ソースチェーン上に存在しないrsETHトークンの「バーン」を誤って認識し、それに基づいて約2.93億ドル相当の資金を攻撃者のウォレットに放出するよう騙されました。
業界の専門家たちは、この事件がスマートコントラクトコード自体の欠陥ではなく、DeFiプロトコルの運用セキュリティ(OpSec)とクロスチェーンインフラにおける重大な脆弱性を露呈したものであると指摘しています。これは、DeFiが分散性を追求する一方で、その運用において中央集権的な要素が残りうるという、複雑な現実を示唆しています。
DeFiエコシステムへの波及効果とAaveへの影響
KelpDAOのハッキングは、その被害額の大きさだけでなく、DeFiエコシステム全体に広範な波及効果をもたらしました。この事件により、少なくとも9つ以上のDeFiプロトコルが直接的または間接的な影響を受けました。
特に深刻な影響を受けたのは、Aave、Compound、Eulerといった主要なレンディングプラットフォームです。AaveのTotal Value Locked(TVL)は、このハッキングを受けて一時的に100億ドル減少したと報じられ、プラットフォームは多額の不良債権を抱える事態となりました。これは、DeFiプロトコル間の相互接続性が、ある一点の障害が全体に広がるリスクをはらんでいることを示すものです。
このKelpDAOの事件に加え、2026年4月には他の複数のハッキングやエクスプロイトが発生したため、同月は過去1年間で暗号資産関連のハッキング被害額が最悪の月となりました。この事態は、DeFi業界全体に対する信頼の低下と、セキュリティに対する懸念を増大させる結果となりました。
セキュリティ対策と復旧への取り組み
KelpDAOは、ハッキング発生後、迅速な対応を見せました。攻撃発覚後、プロトコルは直ちに契約を一時停止することで、追加で9,500万ドル相当の資金が盗まれるのを防ぎました。これは、危機管理能力の高さを示すものと言えます。
また、広範な復旧努力が進行中です。Arbitrum Security Councilは、法執行機関と密接に協力し、攻撃者のウォレットから30,000 ETH以上を凍結することに成功しました。これは、盗難資金の回収に向けた重要な一歩です。
さらに、業界全体での協力体制も構築されています。「DeFi United」と名付けられた復旧イニシアチブが立ち上げられ、被害を受けたKelpDAOのコミュニティと協力し、残された課題に取り組んでいます。この取り組みの一環として、攻撃者のArbitrumネットワーク上に残っていたrsETHトークンはバーンされ、KelpDAOが発行するrsETHの裏付けを回復するための措置が講じられています。
DeFiプロトコルが直面する新たな課題と進化
KelpDAOハッキング事件は、DeFiプロトコルが直面するセキュリティ上の課題が、もはやスマートコントラクトのコード監査だけでは不十分であることを明確に示しました。今後は、以下の新たな課題への対応と進化が求められます。
- クロスチェーンセキュリティの重要性: 今回の攻撃は、LayerZeroブリッジの脆弱性が悪用されたものであり、クロスチェーン通信のセキュリティがDeFiエコシステム全体の安定性に不可欠であることを浮き彫りにしました。異なるブロックチェーン間の資産移動を担うブリッジプロトコルに対する、より厳格なセキュリティ監査と多層的な防御策が不可欠です。
- オフチェーンインフラの保護: RPCノードやオラクル、検証ネットワークといったオフチェーンインフラは、DeFiプロトコルの機能に不可欠ですが、しばしば見過ごされがちです。スマートコントラクト監査に加え、これらのオフチェーンコンポーネントに対する堅牢なセキュリティ対策(例:多要素認証、アクセス制御、侵入検知システム)の必要性が強調されます。
- 多要素認証と分散化の推進: 1-of-1 DVN(単一の検証者ノード)のような単一障害点は、攻撃者にとって格好の標的となります。より分散化された検証メカニズムや、マルチシグ(多重署名)ウォレットの活用、複数のオラクルからのデータ集約など、単一障害点を排除するための多層的セキュリティアプローチの導入が急務です。
今後のDeFiセキュリティ:業界の成長と成熟
KelpDAOハッキングは、DeFi業界が直面する課題を浮き彫りにしましたが、同時に業界の成長と成熟を促す契機でもあります。今後、DeFiエコシステムのセキュリティを強化し、ユーザーの信頼を回復するためには、以下の点に注力する必要があります。
- リスク管理の強化と継続的評価: 各DeFiプロトコルは、潜在的な攻撃経路を特定するためのリスク評価を継続的に実施し、進化する脅威に対応するためにセキュリティ対策を常に更新していく必要があります。脆弱性報奨金プログラム(バグバウンティ)の拡充も有効な手段となるでしょう。
- 業界内でのコラボレーションと情報共有: 類似の攻撃を防ぐためには、DeFiプロトコル間、セキュリティ企業、研究者間でのセキュリティ情報の共有と協調的な対応が不可欠です。インシデント発生時の迅速な情報共有と共同での対策が、被害の拡大を防ぐ鍵となります。
- ユーザー教育と自己責任の啓発: ユーザー自身も、利用するDeFiプロトコルのセキュリティモデルを深く理解し、関連するリスク(例:スマートコントラクトリスク、ブリッジリスク)を認識することが重要です。自己資産保護のための基本的なセキュリティ実践(例:強力なパスワード、ハードウェアウォレットの使用)も不可欠です。
- 規制の進化と透明性: 大規模なハッキング事件は、世界中の規制当局がDeFi分野への関与を強化するきっかけとなります。業界は、規制当局との対話を通じて、透明性と説明責任を向上させながら、イノベーションを阻害しない形での健全な規制環境の構築に貢献することが求められます。
まとめ
KelpDAOに対する2.93億ドルのハッキング事件は、DeFi業界にとって痛ましい出来事でありながら、その成長と成熟を促す重要な転換点となりました。この事件は、スマートコントラクトのセキュリティだけでなく、オフチェーンインフラ、クロスチェーン通信、そして運用セキュリティがいかにDeFiエコシステムの全体的な健全性に影響を与えるかを明確に示しました。Lazarus Groupによる巧妙な攻撃は、DeFiプロトコルが直面する脅威が多様化していることを浮き彫りにし、より堅牢で多層的なセキュリティ戦略の必要性を強調しています。今後、DeFi業界は、技術的な革新と並行して、セキュリティ対策の強化、透明性の向上、そしてユーザー保護の徹底に努めることで、その信頼性と持続可能性を高めていくことが期待されます。
