46分で2億9200万ドルが消失：Kelp DAO DeFiハッキングの内幕

要約

• 土曜日、Kelp DAOのLayerZero搭載ブリッジが攻撃を受け、約2億9,200万ドル相当の116,500 rsETHが流出
• 攻撃者はLayerZeroのメッセージングレイヤーを騙し、攻撃者が管理するアドレスに資金を送金させた
• 盗まれた資金の約2億5,000万ドルがETHに変換された。Tornado Cashから資金提供されたアドレスが使用された
• Aave、SparkLend、Fluidを含む少なくとも9つのプロトコルがrsETH市場を凍結
• これは2026年最大の分散型金融攻撃となり、4月1日のDrift Protocolハッキングを上回った

土曜日17:35 UTC、攻撃者はKelp DAOのLayerZero搭載ブリッジから116,500 rsETHを流出させ、約2億9,200万ドル相当の暗号資産を奪取しました。

CoinGeckoのデータによると、盗まれた量はrsETHの総流通供給量630,000トークンの約18%に相当します。

Kelp DAOはリキッドリステーキングプロトコルです。ユーザーが預けたETHをEigenLayerを通じてルーティングして追加の利回りを獲得し、取引可能なレシートトークンとしてrsETHを発行します。

攻撃者はLayerZeroのクロスチェーンメッセージングレイヤーを騙し、別のネットワークから有効な指示が到着したと信じ込ませました。これによりKelpのブリッジは攻撃者が管理するウォレットに資金を送金しました。

Kelpの緊急マルチシグは流出の46分後、18:21 UTCにプロトコルのコアコントラクトを一時停止しました。さらに40,000 rsETH(約1億ドル相当)を流出させようとする2回の試みは、いずれもブロックされました。

盗まれた資金はTornado Cashから資金提供されたアドレスを経由して移動されました。ブロックチェーンセキュリティー企業Cyversによると、盗まれたrsETHの約2億5,000万ドルはすでにETHに変換されていました。

分散型金融全体に広がる影響

流出したブリッジは、Base、Arbitrum、Linea、Blast、Scrollを含む20以上のブロックチェーン上でラップされたrsETHの準備金を保有していました。

その準備金が失われたことで、レイヤー2ネットワーク上のrsETH保有者は、自分のトークンが完全に裏付けされているかどうかについて不確実性に直面しています。

Aaveは攻撃から数時間以内にV3とV4のrsETH市場を凍結しました。市場が潜在的な不良債権のリスクを織り込んだため、Aaveのトークンは約10%下落しました。

SparkLendとFluidもrsETH市場を凍結しました。Lido Financeは、rsETHエクスポージャーを持つearnETH商品への預金を一時停止しましたが、コアステーキングプロトコルは関与していないことを明らかにしました。

EthenaはrsETHエクスポージャーがないと述べ、予防措置としてイーサリアムブロックチェーンメインネットからのLayerZero OFTブリッジを約6時間一時停止しました。

Kelpは攻撃から約3時間後の20:10 UTCに最初の公式声明を発表しました。プロトコルはLayerZero、Unichain、監査人、外部セキュリティー専門家と協力していると述べました。

2026年の分散型金融にとって厳しい時期

Cyvers CEOのDeddy Lavidは、この事件はプロトコルが深く接続されている分散型金融における相互運用性のリスクを示していると述べました。

SolanaベースのプラットフォームであるDrift Protocolは、4月1日に北朝鮮関連の攻撃者による攻撃で約2億8,500万ドルを流出させました。

CoW Swap、Zerion、Rhea Finance、Silo Financeを含む小規模なプロトコルも最近数週間で攻撃を受けています。

Cyversによると、2026年第1四半期のハッキングと詐欺による暗号資産の損失総額は約4億8,200万ドルに達しました。

Kelp DAOの攻撃は現在、2026年最大の分散型金融ハッキングとなり、Driftを数百万ドル上回っています。

Kelpは、本記事の執筆時点で、攻撃者がどのようにブリッジの検証ロジックを回避したかを公表していません。

$292 Million Gone in 46 Minutes: Inside the Kelp DAO DeFi Hackという記事はCoinCentralに最初に掲載されました。