Kelp DAOは2026年4月18日に攻撃を受け、ハッカーは単一のLayerZero検証ノードを侵害し、116,500枚の実際の資産に裏付けられていないrsETHを鋳造しました。この事件はここ数週間で6億ドル以上のDeFi業界全体の損失を引き起こし、各プロトコルの累積損失は100億ドルに近づいています。オンチェーンデータによると、資本は再ステーキング、レンディング、クロスチェーンブリッジプロトコルから加速的に撤退しており、DeFiの総ロックアップ価値は過去12か月で最低水準にまで下落しています。
この事件の核心的な問題は、単一の設定ミスをした検証ノードが、クロスチェーンDeFiインフラ全体のシステム的な脆弱性を露呈させたかどうかです。Kelp DAOのrsETHクロスチェーンブリッジは、LayerZeroメッセージを検証するための分散型検証ネットワークノードに依存しており、この「1-of-1」の単一点構成は以前にセキュリティ企業Halbornによって警告されていました。攻撃者(LayerZeroは北朝鮮のLazarusグループのTraderTraitorチームと特定)は、この検証器にデータを提供する2つのRPCノードを侵害し、バックアップノードに対してDDoS攻撃を仕掛けて強制的にフェイルオーバーさせ、最終的に詐欺メッセージを注入して巨額のrsETHを鋳造しました。
損失は急速に拡大しました。鋳造された116,500枚のrsETHは、このトークンを担保として受け入れるレンディング市場で不良債権を生み出し、Halbornはこれを偽造メッセージの「エコーチェンバー」と表現しています。分析によると、問題はツール自体ではなく、その設定方法にあります。これは、今回の攻撃がゼロデイ脆弱性を悪用したのではなく、既に警告されていた設定ミスを利用したことを意味します。単一点故障の検証器アーキテクチャは、明確な攻撃対象となっています。
TVLデータは、資本逃避の深刻さを明らかにしています。マクロ的な圧力の下で、DeFiの総TVLは2026年第1四半期に継続的に縮小しており、Kelp DAO事件はこの傾向を加速させ、垂直下落の様相を呈しています。データによると、4月18日の攻撃発生後48時間以内に、TVLの流出は130億ドルに達しました。その中で、AaveのTVLは264億ドルから約180億ドルに急落しました。これは、rsETH市場を凍結したため、ユーザーが潜在的な不良債権リスクを回避するために大規模な資金引き揚げを行ったためです。Aaveのリスクチームは現在、担保として使用された無担保rsETHの回収率に基づいて、2つの不良債権シナリオをシミュレートしています。