分散型金融(DeFi)は、2026年4月に発生したKelpDAOの大規模エクスプロイトや、それに伴う130億ドル規模のTVL(Total Value Locked)の急落といった数々の試練に直面しながらも、その基盤は決して揺らいでいません。これらの出来事は表面上は壊滅的に見えますが、その背後にはレバレッジポジションの解消が主な原因であり、真の資本破壊ではないというデータが示唆しています。DeFi市場は、過去の大規模ハッキング事件からも回復し、リスクの再評価を通じて一層の強靭性を獲得しています。
大規模エクスプロイトが頻発するDeFi市場の現状
分散型金融(DeFi)は、金融の民主化と革新を推し進める一方で、その黎明期からセキュリティの課題に直面してきました。スマートコントラクトの脆弱性、プロトコル設計の欠陥、そして外部インフラへの攻撃など、様々な経路から資金が流出するエクスプロイト事件が後を絶ちません。2026年4月にも、リキッドリストレイクドトークンプロトコルであるKelpDAOが約2億9200万ドル(CoinDesk報道)という巨額の損失を被るエクスプロイト事件が発生し、DeFi市場に再び動揺が走りました。
このような大規模な資金流出は、一見するとDeFiエコシステムの健全性に深刻な打撃を与え、投資家の信頼を損なうものと捉えられがちです。しかし、これらの数字の裏には、DeFi特有のメカニズムが深く関わっています。表面的な損失額だけでなく、その影響の質を深く分析することで、DeFi市場が単なる技術的欠陥の集合体ではなく、進化し続けるレジリエントなシステムであることが見えてきます。
KelpDAOエクスプロイト:2.9億ドルの損失とLayerZeroへの影響
今回のKelpDAOエクスプロイトは、その規模もさることながら、攻撃の手口が従来のスマートコントラクトの脆弱性を突くものとは異なっていた点で注目に値します。LayerZero財団が公開した速報によると、この事件はLayerZeroの検証スタックで使用されているインフラストラクチャへの標的型攻撃から始まったとされています。これは、DeFiプロトコルの攻撃対象領域(アタックサーフェス)がスマートコントラクト単体に留まらず、その周辺インフラにまで拡大していることを示唆しています。
LayerZeroは、このインシデントに北朝鮮のラザルス・グループが関与している可能性を暫定的に指摘しており、KelpDAOがより耐性の高い構成の使用を繰り返し推奨されていたにもかかわらず、単一検証者設定を選択していたことが攻撃成功の一因となったと説明しています。このエクスプロイトにより、KelpDAOが発行するリキッドリストレイクドトークンrsETHは裏付けを失い、AaveのWETHプールなど、主要なレンディング市場に大量の不良債権が波及するのではないかという懸念が広がりました。この事例は、プロトコルの設計だけでなく、その運用におけるセキュリティプラクティスの重要性を浮き彫りにしました。
TVL急落の真実:レバレッジ解消と「循環戦略」の影響
KelpDAOのエクスプロイト発生後、DeFi市場全体で約130億ドルのTVLが急落し、特に主要なレンディングプロトコルであるAaveからは48時間で84億5000万ドルもの資金が流出しました(CoinDesk報道)。この数字だけを見ると、2億9200万ドルの盗難事件がなぜこれほど大規模なTVLの減少を引き起こしたのか疑問に感じるかもしれません。その答えは、DeFiにおける「循環戦略(looping strategies)」と呼ばれるレバレッジ活用手法にあります。
この戦略では、ユーザーはリキッドリストレイクドトークン(LRT)などの資産を担保として預け入れ、それを元手にETHなどの別の資産を借り入れます。そして、借り入れた資産を再びLRTに交換して担保に追加し、さらに借り入れを行うというサイクルを繰り返します。これにより、同じ資産がTVL計算において複数回カウントされるため、見かけ上のTVLが大幅に膨れ上がります。KelpDAO事件の発生時、AaveのETHエクスポージャーの多くは、このような循環戦略に集中していたとされます。エクスプロイトが発生しリスクが高まると、これらのレバレッジポジションが一斉に解消され、結果としてTVLが急激に減少する現象が発生します。つまり、130億ドルのTVL減少は、必ずしも同額の新規資本が市場から流出したことを意味するのではなく、レバレッジの巻き戻しによる「リスクの再評価」が主たる原因であり、実際の純資本損失はその一部に過ぎない可能性が高いのです。
過去の教訓:DeFiが乗り越えてきた大規模ハッキング事件
DeFi市場が大規模なエクスプロイトに直面したのは、今回が初めてではありません。むしろ、歴史を振り返れば、DeFiは数々の壊滅的な攻撃を乗り越え、その度に強靭性を増してきました。例えば、2022年にはアクシーインフィニティのサイドチェーンであるRonin Bridgeが約6億2000万ドル相当のETHを盗まれました。また、Wormholeブリッジも3億2000万ドルの攻撃を受け、Poly Networkは6億1000万ドルという史上最大級のハッキング被害に遭いました。
これらの事件は、単一のプロトコルだけでなく、クロスチェーンブリッジなど、DeFiエコシステムの中核を担うインフラストラクチャを標的としたものでした。いずれの事件も市場に大きな衝撃を与え、一時はDeFiの終焉を囁かれましたが、結果として各プロトコルはセキュリティ対策を強化し、コミュニティは再建に向けて協力しました。これらの過去の経験が、DeFiプロトコルが危機を乗り越え、より安全なシステムへと進化していくための貴重な教訓となっています。今回のKelpDAOエクスプロイトも、同様にDeFiエコシステムの進化を促す契機となるでしょう。
リスクの再評価と市場の回復力:AaveとSparkの事例から
KelpDAOのエクスプロイトとそれに続くTVLの急落は、DeFi市場がリスクをどのように評価し、対応するかを示す興味深い事例となりました。Aaveから大量の資金が流出した一方で、一部のプロトコルは流入を記録しました。例えば、MakerDAOが開発し、Aave V3のフォークであるSparkプロトコルは、週末にかけてTVLが18億ドルから29億ドルへと急増しました(CoinDesk報道)。これは、ユーザーがリスクを再評価し、より安全で信頼性の高いと判断したプロトコルへと資金を移動させた結果です。
この動きは、DeFi市場が単一のプロトコルの失敗によって全体が崩壊するのではなく、ユーザー自身がリスクを識別し、自律的にポートフォリオを調整する能力を持っていることを示しています。TVLの減少は、一方向的な資本流出ではなく、市場全体のリスク選好度が変化した結果として捉えるべきです。DeFiは「壊れた」のではなく、市場参加者による迅速なリスクの再評価と、より堅牢なソリューションへの資本の再配分が行われたと解釈できます。
DeFiの未来:インフラストラクチャへの攻撃と高まるセキュリティ意識
今回のKelpDAOエクスプロイトが示した最も重要な教訓の一つは、DeFiのセキュリティ対策がスマートコントラクトの監査だけに留まらず、その基盤となるインフラストラクチャ全体に目を向ける必要性があるという点です。LayerZeroの検証スタックへの攻撃は、プロトコルのエコシステムを構成する外部サービスやオフチェーンコンポーネントが新たな攻撃ベクトルとなり得ることを明確にしました。
今後、DeFiエコシステムでは、複数検証者設定の導入や、より分散化されたインフラストラクチャの構築が加速するでしょう。また、セキュリティ監査の範囲は、スマートコントラクトだけでなく、関連する全てのインフラストラクチャ、運用プロセス、そしてサプライチェーン全体に拡大されることが求められます。この種の攻撃は、オンチェーンシステム全体のリスクプレミアムを高めることになりますが、同時に、DeFiコミュニティ全体がセキュリティ意識を一層高め、より堅牢で回復力のあるシステムを構築するための強力な動機付けとなるはずです。DeFiは進化を止めず、新たな脅威に適応し続けることで、その存在感を確固たるものにしていくでしょう。
まとめ
KelpDAOの大規模エクスプロイトとそれに伴うDeFi市場のTVL急落は、表面的な数字だけを見ると懸念を抱かせますが、その実態はレバレッジポジションの解消が主因であり、DeFiが直面するリスクの「再評価」プロセスの一環として捉えるべきです。過去にも大規模なハッキング事件を乗り越えてきたDeFiは、その度にセキュリティ意識と対策を強化し、回復力と適応性を示してきました。今回の事件は、スマートコントラクトだけでなく、インフラストラクチャ全体へのセキュリティ対策の重要性を再認識させるものであり、DeFiエコシステムが今後も進化し続けるための新たな契機となるでしょう。市場参加者とプロトコル開発者が協力し、より安全で分散化されたシステムを追求することで、DeFiは金融の未来を形作る力であり続けるでしょう。
