博链BroadChainが把握したところによると、4月22日19時30分、DeFi分野は再び大きな打撃を受けた。流動性再ステーキングプロジェクトKelp DAOが最近攻撃を受け、損失額は2億9200万ドルに達した。この事件はプロジェクト自身の金庫を空にしただけでなく、DeFiの組み合わせ可能性を通じて連鎖反応を引き起こし、レンディングプロトコルAaveに2億ドル以上の不良債権を発生させた。
セキュリティ分析によると、攻撃者はスマートコントラクトの脆弱性を利用したのではなく、基盤となるRPCノードを汚染し、クロスチェーンプロトコルLayerZeroに偽造データを送信した。しかし、致命的な弱点は、プロジェクトの核心部分が1/1の単一署名権限メカニズムを採用していたことで、ハッカーがデータ汚染後に一気に巨額資産を移転することが可能となった。オンチェーントラッキングは北朝鮮のハッカーグループLazarus Groupを指しており、その効率的な資金洗浄経路は国家レベルの攻撃者の脅威を浮き彫りにしている。
事件発生後、責任の所在について議論が巻き起こった。Kelp DAOはLayerZeroのインフラに脆弱性があると非難し、一方で後者は問題はプロジェクト側がRPCデータを盲目的に信頼したことにあると反論した。AaveはKelp DAOの資産を担保として受け入れたため巻き添え被害を受け、保護基金を活用して損失を補填する計画ではあるが、これはDeFiエコシステムの「一つの損害が全体の損害につながる」というシステミックリスクを露呈させた。
今回の攻撃は、業界にDeFiのリスクとリターンのミスマッチについて深く考えさせた。ユーザーは一桁の年率リターンやポイントを追い求める一方で、元本全額損失のリスクを負っている。総預かり量を争うため、多くのプロトコルが低手数料モデルを採用しており、そのわずかな収入では高度な攻撃に対抗するために必要なセキュリティ投資を支えることが難しく、「利益は私有化され、リスクは社会化される」という脆弱な構造を形成している。
機関資金の参入加速というトレンドに直面し、業界は規制に準拠したカストディの価値を再評価し始めている。ビジネスロジックと資産保管を分離し、専門のカストディ機関が金庫管理を担当することで、単一障害点を効果的に排除できる。独立したインテントリスク管理エンジンは、オフチェーンで異常取引を遮断・再確認し、コードでは提供できない信託レベルの保護を提供できる。これは、DeFiプロトコルが主流資本を惹きつけ、長期的な発展を実現するために必要なインフラとなるかもしれない。