博链BroadChain获悉、4月24日 04:16、Kelp DAOのLayerZeroベースのrsETHクロスチェーンブリッジが4月19日未明に突破され、116,500枚のrsETH(約2.92億ドル)が対応するバーン記録なしにメインネットから流出した。攻撃者はlzReceive検証ロジックを迂回し、偽造されたクロスチェーンメッセージで直接リザーブのリリースをトリガーした。1時間以内にKelpはコントラクトを停止したが、その後の追加攻撃が成功していれば、総損失は3.91億ドルに達していた。
今回の攻撃の根本原因は、KelpがLayerZeroの最も弱いセキュリティ設定である1/1 DVN(単一のバリデーター署名で通過可能)を採用していたことにある。暗号セキュリティ企業Sodotの共同創業者Shalev Keren氏は、これは「単一障害点」であり、監査では修正できないと指摘する。早くも2025年1月には、Aaveガバナンスフォーラムで複数のDVN検証への拡張を促すチームがいたが、15か月経っても実行されなかった。LayerZeroは事後にアップグレードを何度も促したと述べ、単一バリデーターアプリケーションへのメッセージ承認を停止すると発表した。
攻撃者は盗んだrsETHをAave、Compoundなどのレンディングプラットフォームに預け、2.36億ドル以上のリアルアセットを借り出した。Aaveが市場を凍結した後、100億ドルを超える引き出しラッシュが発生し、Fluid、Upshift、Lido Earnなど少なくとも9つのプロトコルが緊急対応を発動した。SparkLendは2026年1月に既にrsETHを上場廃止にしており、LRT(リキッドリステーキングトークン)資産に対する業界のリスク認識の差が浮き彫りになった。
LayerZeroは攻撃を北朝鮮のLazarus Groupに帰属させたが、Cyversはこの結論を追認していない。悪意のあるノードソフトウェアが痕跡を自動消去するため、証拠収集が困難だからだ。2件の事件(3週間前のDrift Protocolでの2.85億ドル損失)は、DeFiの既存のセキュリティフレームワークが現在の脅威に対応できなくなっていることを示している。業界はプロトコル設計、担保リスク管理、運用セキュリティ、およびインテリジェンス共有のレベルでシステム的なアップグレードが必要である。