博链BroadChainが把握したところによると、4月23日12:16、4月19日未明、Kelp DAOのLayerZeroベースのrsETHクロスチェーンブリッジが攻撃を受け、約116,500枚のrsETHが対応するバーン記録なしにメインネットから流出し、損失額は約2億9200万ドルに上った。攻撃発生から1時間以内にKelpは緊急で契約を一時停止したが、攻撃者はその後2回にわたり追加攻撃を試みており、契約が停止されていなければ潜在的な総損失額は3億9100万ドルに達する可能性があった。
これは2026年のDeFi分野における単一事件での最高損失記録となった。攻撃の核心は検証メカニズムの単一障害点にあった。KelpはLayerZeroが許容する最も弱いセキュリティ設定である1/1 DVNを採用しており、単一の検証者の署名だけでクロスチェーンメッセージを通過させることができた。セキュリティ専門家は、これは本質的に監査では修正できないアーキテクチャ上の欠陥であると指摘している。
早くも2025年1月には、すでに開発者がAaveのガバナンスフォーラムでKelpが複数検証者構成に拡張すべきだと警告していたが、この提案は15ヶ月間採用されなかった。LayerZeroは事後に、依然として単一検証器を使用しているアプリケーションへのメッセージ承認を停止すると発表した。技術的な失策は迅速にシステミックな伝染を引き起こした。
攻撃者は盗んだrsETHをAave、Compoundなどの複数のレンディングプラットフォームに預け入れ、2億3600万ドルを超える実資産を借り出した。Aaveは直ちに関連市場を凍結し、流動性が突然逼迫し、1000億ドルを超える引き出しの波に波及した。Fluid、Upshift、Lido Earnなど少なくとも9つのプロトコルが相次いで緊急対応を発動した。
これは、LRT(流動性再ステーキングトークン)が担保として複数の層で組み合わされた後、基盤となる準備金が空になることで信頼の連鎖全体が同時に不安定になるリスクを露呈した。今回の攻撃の帰属については議論がある。LayerZeroは北朝鮮のハッカーグループLazarus Groupに帰属するとしているが、セキュリティ企業Cyversは関連するウォレットのクラスタリングはまだ確認されていないと述べている。
攻撃者が使用した悪意のあるノードソフトウェアは事後に自動的に痕跡を消去し、フォレンジックの難易度を高めた。これはDeFi業界が攻撃の追跡と情報共有において体系的な協力を欠いていることを反映している。相次ぐ巨額の攻撃事件は、DeFiの既存のセキュリティ管理フレームワークが深刻な課題に直面していることを示している。
セキュリティの進化には、プロトコル設計者、インフラ層、レンディングプラットフォームなど、複数の関係者の共同参加が必要であり、リスク仮定の再調整と、より体系的な情報共有と強制リスク管理メカニズムの確立が求められる。