Kelp DAO wird gehackt: 292 Millionen US-Dollar Schaden—LayerZero-Cross-Chain-Bridge wird mit gefälschten Nachrichten angegriffen und ist das größte DeFi-Ereignis des Jahres 2026

Kelp DAO が再ステーキング協議で台湾時間の4月19日未明に攻撃を受けた。CoinDeskの報道とオンチェーンセキュリティ企業Cybersの追跡によると、攻撃者はKelpがLayerZeroにデプロイしたクロスチェーンブリッジ接続器を通じて、偽造のクロスチェーンメッセージで合意をトリガーし、116,500個のrsETHを放出させた。これは約2.92億ドルに相当し、rsETHの流通量の約18%を占める。今回の損失は4月上旬のDrift Protocolによる2.85億ドル事件を上回り、2026年の最大のDeFiセキュリティ事件となった。

偽造クロスチェーンメッセージでブリッジ接続器の検証を回避

Kelp DAOのrsETHはイーサリアムのメインネットにネイティブに由来し、LayerZeroのクロスチェーンメッセージ層を通じて20以上の他のチェーン上にデプロイされている。攻撃者は米東部時間4月18日午後2時50分頃に攻撃を開始し、偽造されたクロスチェーンパケットによってメインネットのadapter合意が「有効な指令が別のチェーンから来た」と信じるようにして、116,500 rsETHを攻撃者が制御するアドレスへ放出させた。

rsETHを手に入れた後、攻撃者はさらに代币をAave V3に担保として預け入れ、WETHを借り入れ、資産を分割してArbitrumへクロスチェーンし、最終的にミキサーのTornado Cashを介して資産を洗浄した。Kelpは攻撃発生から約46分後に緊急の停止マルチシグによりトリガーし、その後の4万rsETHによる2回の攻撃（合計約1億ドル）は、合意が凍結されたためrevertした。

AaveがrsETH市場を緊急凍結

Aaveの創設者Stani Kulechovはコミュニティ上で、「rsETH市場はAave V3とAave V4で凍結されており、Aave合意自体は攻撃されていない。これはrsETH側の脆弱性だ」と述べ、さらに「rsETHのAaveにおける貸し出し権限はゼロであり、Aaveに直接の損失はない」と強調した。ただし、rsETHが担保として支援しているWETHの借り入れポジションには、約1.77億ドルの不良債権リスクが残るため、供給側は緊急に撤退を余儀なくされた。

市場の反応は強烈だった。ニュースが伝わった後、AAVEトークンは1日で10.27%下落し、一時105.73ドルまで下落した。関連する貸し出し合意のSparkLendとFluidも、rsETHに関連するポジションを次々と凍結し、週末で流動性が薄い中、連鎖リスクが増幅された。

wrapped rsETHが20以上のチェーンに分散され、清算が難しい課題に

今回の事件の連鎖効果は、一般的な単一チェーン攻撃よりも大きい。吸い取られたadapter準備資産は、まさに20以上のチェーン上で発行されているwrapped rsETHの裏付け資産である。つまり、他のチェーン上でもwrapped rsETHによって借り入れ、担保化、または取引を行っているユーザーのポジションは、受動的なデカップリング（切り離し）のリスクに直面することになる。Kelpの公式声明では「疑わしいクロスチェーン活動」を確認し、rsETH合意を停止したことしか述べられておらず、補償プランはまだ公開されていない。

クロスチェーンブリッジがDeFiの新たな攻撃面に

Kelpの事件は、2026年以降にクロスチェーンメッセージ層が攻撃の主役になるという流れをさらに強めている。月初のDrift ProtocolがSolanaのdurable nonceを利用してマルチシグを迂回したことから、今回のKelpによるLayerZeroメッセージの偽造まで、脆弱性のポイントは貸し出し合意そのものではなく、各チェーンをつなぐメッセージ検証メカニズムにある。リスク管理チームのChaos Labsは以前、予算をめぐる論争でAaveのリスク管理から離脱しており、さらにクロスチェーンブリッジという集中した攻撃面が浮上したことで、DeFiプロトコルにおける構造的なセキュリティ・ガバナンス上の課題は引き続き高まり続けている。

この記事「Kelp DAOが2.92億ドルをハッキング：LayerZeroクロスチェーンブリッジが偽造メッセージ攻撃を受け、2026年最大のDeFi事件」が最初に掲載されたのは鏈新聞ABMedia。