博链BroadChainが入手した情報によると、4月24日15:06、2026年4月18日、ある攻撃者が46分間でKelpDAOのクロスチェーンブリッジから116,500枚のrsETH(約2億9200万ドル相当)を盗み出し、今年最大のDeFiセキュリティインシデントとなった。盗まれたトークンはAave V3などのプロトコルに担保として預けられ、約2億3600万ドル相当のETHが借り出され、Aaveに1億7700万ドルから2億ドルの不良債権が発生し、TVLは約60億ドル減少した。本稿では民事法の観点から責任の所在を分析し、KelpDAOとLayerZero Labsが共同過失責任を負うべきであり、その割合は約60%と40%であると考える。
KelpDAOはLayerZeroが推奨するDVN構成の中で最も低い1-of-1、すなわち1つのバリデーターのみに依存する方式を選択した。一方、LayerZeroは少なくとも2-of-3を明確に推奨していた。このような単一障害点は約16億ドルの資産を保護していたことになり、金庫を南京錠で守るようなものだ。不法行為法に基づけば、予防コスト(B)は損害確率(P)に損害規模(L)を乗じたものよりもはるかに低く、過失を構成する。SparkLendやFluidなどの業界同業者は、rsETHのLTVをそれぞれ72%と75%に設定しており、Aaveの93%を大幅に下回っており、ブリッジリスクに対する警戒心を示している。
LayerZeroが運営するDVNインフラはRPCポイズニング攻撃を受け、攻撃者はバイナリファイルの置き換え、選択的欺瞞、DDoSフェイルオーバーを通じて検証を偽装した。RPCポイズニングは既知の攻撃ベクトルであり、LayerZeroはインフラ運営者として、クロス検証や異常検知などの対策を実施すべきだった。不可委任義務の原則により、RPCプロバイダーに依存していることを理由に免責されることはない。Drift Protocolへの攻撃(2億8500万ドル、4月1日)は建設的な通知を提供し、過失の認定をさらに支持する。
共同因果関係の下では、KelpDAOの構成とLayerZeroの失敗はともに必要条件である。過失の配分は3つの点に基づく:KelpDAOが能動的に最低構成を選択したこと、LayerZeroが既知の脅威を防御しなかったこと、そして攻撃者の行為が因果連鎖を断ち切らないこと。プロトコルのサービス利用規約における責任上限条項は、公共政策に違反するため執行不能となる可能性がある。