KuCoin
ログイン
language_currency
ホームページ
ブログ
Crypto Report
詳細
img

KelpDAO rsETHの不正アクセス:$292MのLayerZeroブリッジ攻撃がAaveで$177Mの不良債務を生み出した理由

2026/04/20 10:30:03

KelpDAO rsETHの不正アクセス:$292MのLayerZeroブリッジ攻撃がAaveで$177Mの不良債務を生み出した理由

はじめまして

クロスチェーンブリッジの単一障害点が2億9200万ドルの問題になるとは?
 
2026年4月18日、仮想通貨業界はリアルタイムでその答えを得た。KelpDAOというリキッドレストイーキングプロトコルは、LayerZeroを活用したブリッジの脆弱性を悪用され、約2億9200万ドルに相当する11万6500 rsETHが不正に奪われた。この攻撃はトークンを盗むだけでなく、Aaveの貸出台帳に約1億7700万ドルの不良債権を残し、預金者はパニックに陥り、DeFiコミュニティはクロスチェーン金融に根本的な信頼問題があるのかを問うている。
 

KelpDAOとrsETHとは?リキッドレストイキングの理解

KelpDAOは、EigenLayer上に構築されたリクイッドレストエーキングプロトコルで、ユーザーはこのプロトコルを通じてETHをステークし、ステークした保有資産を表すリクイッドトークンであるrsETH(レストエーキングされたETH)を受け取ります。このリクイッドレストエーキングという概念により、ユーザーはステーキング報酬を獲得しながらも流動性を維持でき、ネイティブステーキングの収益と取引可能なトークンの柔軟性を組み合わせます。
 
rsETHトークンは、DeFiプロトコルで担保として使用できるため人気を集めました。ユーザーはKelpDAOを通じてETHをステークし、rsETHを受け取り、その後そのrsETHを使って複数のチェーン上で他の資産を借入します。問題は?このクロスチェーン機能はLayerZeroのブリッジ技術、特に1-of-1 DVN(データ検証ネットワーク)構成に依存していましたが、これは単一障害点であることが判明しました。
 
DeFiに初めて触れる人にとっては、この概念はシンプルです。KelpDAOは、ユーザーがETHを他のプロトコルで利用しつつ、ステーキング報酬を得られると約束していました。その実行には、ブリッジインフラへの信頼が不可欠でした。しかし、4月18日、1つの脆弱なバリデーターが攻撃者に未保証のrsETHを発行させるきっかけとなり、その信頼は崩壊しました。攻撃者はブロックチェーンそのものをハッキングしたのではなく、あるチェーン上でトークンが別のチェーン上に存在することを通知するメッセージ検証システムを操作しました。
 

2026年4月18日の攻撃:攻撃の経過

インシデント報告によると、この攻撃は約46分にわたり段階的に展開されました。2026年4月18日18:52 UTCから、攻撃者はKelpDAOのLayerZeroブリッジ設定の脆弱性を悪用しました。具体的には、クロスチェーンメッセージを検証する1/1 DVN(シングルシグナー検証)です。
 
以下が技術的に発生したことです: 
 
 
フェーズ アクション 影響
1 攻撃者が1-of-1 DVNの脆弱性を特定 単一障害点が露呈
2 116,500の無担保rsETHをミント 循環供給の約18%
3 rsETHを20以上のチェーン間でブリッジ 世界中で取り残された資産
4 Aave V3にrsETHを担保として入金 126,000 WETHを借入
5 緊急一時停止前にエグジットを実行します 2億9200万ドルが盗まれる
 
 
攻撃者は、盗まれたrsETHをAave V3の担保として提供し、約126,000 WETH(当時約2億3600万ドル相当)を借入しました。これにより即座に不良債務が発生し、Aaveは貸し出したWETHよりもはるかに価値が低いrsETHを保有することになりました。
 
セキュリティ研究者は、不審な活動が開始されてからプロトコルが一時停止されるまでに46分の期間があったことを指摘しました。この一時停止がより早く行われていれば、さらに2億ドルの潜在的なブリッジ資産を防ぐことができたでしょう。この遅延は大きな損失をもたらしました。
 

Aaveの不良債務危機:1億7700万ドル以上かつ増加中

この攻撃の影響は、初期の盗難よりもはるかに大きな危機を引き起こしました。AaveのWETHプールには、現在約1億7700万ドルの不良債権が存在します。攻撃者は、盗まれたrsETHを担保として126,000 ETHを借り入れ、この債務はETH単位で固定されたままですが、担保の価値は急落しています。
 
数学的な事実は明確です。攻撃者がrsETHを担保として提供した際、それが裏付けされていないことを知っていました。Aaveは、rsETHを1つあたり約2,500ドルの有効な担保と見なしていました。攻撃者は実際のWETHを手に入れ、Aaveは現在ほぼ無価値となったrsETHを抱え込むことになりました。
 
Aaveのガバナンスは迅速に対応しました:
 
  • V3マーケット全体でrsETHの新規入金を一時停止しました
  • Aave Guardianの緊急権限を活性化しました
  • 不良債権の回収についてガバナンスの議論を開始
  • AaveのTVLは264億ドルから207億ドルに低下し、ロックされた総資産が25%減少しました
 
KelpDaoのハッキング後、AaveのTVLは264億ドルから207億ドルに低下し、ロックされた総価値が25%減少しました。
 
Aave上のWETH預金者にとって、状況は危うい。不良債務のため、回収が実現しない限り、預金者の資金はリスクにさらされている。Aaveガバナンスは、アンブレラプロトコルとAave財務を通じて回収手段を模索しているが、この文書作成時点では明確な解決策は出ていない。
 
攻撃者は、盗まれたrsETHを用いてAaveから82,600枚以上のETH(約1億9500万ドル)を借り入れ、ETH価格の上昇により財務準備金での返済がより困難になっているため、不良債務が継続して増加しています。
 
 

クロスチェーンブリッジの脆弱性:システム的な問題

KelpDAOの攻撃は孤立した事例ではなく、業界を悩ませてきたブリッジの脆弱性のパターンに従った、2026年現在で最大のDeFiハッキングです。2022年のRoninブリッジ(6億2500万ドル)から2023年のMultichainまで、クロスチェーンブリッジは一貫してDeFiインフラの最も弱い環であることが証明されてきました。
 
根本的な問題はアーキテクチャにあります。クロスチェーンブリッジは、メッセージ検証システムへの信頼を必要とします。ブリッジがチェーンBに、トークンがチェーンA上に存在すると通知する場合、そのメッセージの信頼性は検証メカニズムの信頼性に依存します。KelpDAO攻撃は1-of-1 DVN構成を悪用しました。これは、数億ドルのユーザー資金を管理するプロトコルにとって決して導入されるべきではなかった単一障害点です。
 
業界の反応はさまざまですが、パターンは明確です:
 
 
インシデント 損失 根本原因
2022 Ronin ブリッジ 6億2500万ドル プライベートキーの漏洩
2023 マルチチェーン 1億3000万ドル マルチシグ失敗
2024 さまざまなブリッジ 4億ドル以上 複数
2026 KelpDAO 2億9200万ドル 1-of-1 DVN失敗
 
 
KelpDAOの事例は特に懸念されるものであり、この脆弱性はLayerZeroのアーキテクチャにおいて既に知られていましたが、被害が発生するまでプロトコルレベルで対応されませんでした。
 

ジャスティン・サンの介入および回復努力

珍しい動きとして、TRONの創設者Justin Sunは、KelpDAOの攻撃者と交渉すると公に申し出ました。SunはX(旧Twitter)に投稿しました。「KelpDAOのハッカー、いくら欲しい?話そう。AaveとKelpDAOの両方を犠牲にして、このハッキングで両方を潰すのは価値がない。」
 
ジャスティン・サンがKelpDaoのハッキングについてコメント
 
攻撃者は約126,000 ETHを借り入れ、ETH単位で固定された負債を生み出した。ETH価格が上昇すると、Aaveの財務とUmbrellaプロトコルの負債負担も増加する。Sunの介入は、より広範なエコシステムの懸念を反映したものであり、これはKelpDAOやAaveだけの問題ではなく、DeFi全体の貸出市場に影響を及ぼす可能性のあるシステム全体の危機を防ぐためのものだった。
 
盗まれたrsETHは複数のネットワークでフラグが付けられ、凍結されています。攻撃者は大量のETHを保有していますが、凍結や調査を引き起こすことなく保有資産を売却することは容易ではありません。これにより、対立状態が生じています。攻撃者は理論上は価値を保有していますが、協力がない限りそれを現実の価値に変換することはできません。
 

rsETHの不正アクセス後、KuCoinでAAVEに投資すべきですか?

KelpDAOの出来事後、すべてのDeFi投資家の心に浮かぶ疑問です。AaveはDeFiで最大の貸出プロトコルであり、この攻撃は多くの人が解決済みだと信じていた脆弱性を露呈しました。ここに正直な評価を示します。
 

注意が必要な理由

  • 不良債権の不確実性:AaveのWETHプールには1億7700万ドルの不良債権が残っており、回収の見通しは不明です
  • TVLの減少:TVLが25%低下し、信頼の低下を示唆
  • クロスチェーンリスク:Aaveはクロスチェーン資産にサードパーティのブリッジを使用しています。どのブリッジの脆弱性もリスクを生み出します。
  • ガバナンスの不確実性:回復案はまだ議論中であり、確定的な結果は保証されていません
  • 市場センチメント:AAVEの価格は、市場が潜在的な損失を織り込んだため、約10%下落しました。
 

AAVEを検討する理由

  • 市場リーダーの地位:セキュリティ侵害にもかかわらず、Aaveは依然として主導的な貸出プロトコルです
  • 回復可能性:Aaveの財政とUmbrellaプロトコルは、適切に実装されれば損失の一部を補填するリソースを有しています。
  • DeFiの必要性:貸出プロトコルは基盤である—個々のプロトコルの問題に関係なく需要は存在する
  • 歴史的な回復力:Aaveは過去の不正アクセスや市場危機を乗り越えてきました
  • ガバナンス対応:迅速な一時停止とガバナンスの活性化は、危機対応能力を示しています
 

リスク評価サマリー

KelpDAOの攻撃は、ブリッジ利用者だけでなく、露出しているプロトコルにコラテラルを提供するすべてのユーザーに影響を与えるクロスチェーン脆弱性という、DeFiリスクの新たな時代を示しています。Aaveにとって、直接的な影響は、残存TVLの207億ドルに対して約1億7700万ドルの不良債権となり、総入金額の約0.85%がリスクにさらされています。
 
重要な質問:このレベルのプロトコルリスクを受け入れられますか?Aaveに預金する場合、他の借り手が選択した担保にリスクが伴うことを理解してください。攻撃者はAaveの担保システムを悪用しましたが、直接的な預金の脆弱性ではありませんでした。しかし、預金者への影響は似ており、回復交渉中に彼らの資金がリスクにさらされています。
 

KuCoinでAAVEを取引する方法

エクスプロイト後のKuCoinでのAAVE取引を検討されている方へ、実用的なガイドをご提供します。
 

ステップ1:リスクを理解する

AAVEは不正アクセスの後、大幅な変動率を経験しています。回復に関するニュースにより、価格は±10〜20%動く可能性があります。失っても構わない資金でのみ取引するか、長期間の変動率を乗り越えて保有してください。
 

ステップ2:取引を実行する

KuCoinで取引インターフェースで「AAVE/USDT」を検索してください。この期間は取引高が高く、成行注文と指値注文の両方に対して流動性の高い市場を提供します。
 

ステップ3:保有資産のサイズを検討する

継続的な不確実性を踏まえ、通常よりも小さなポジションサイズを検討してください。10%の価格下落はすでに発生していますが、回復のタイミングは依然として不確実です。時間にわたってドルコスト平均法でポジションを構築することで、タイミングリスクを軽減できます。
 
 

結論

KelpDAO rsETHの攻撃は、292Mドルの盗難だけでなく、クロスチェーンインフラに関する示唆から、2026年最大のDeFi事件となっています。1つのバリデーターが攻撃者に20以上のチェーンに裏付けのないトークンを発行させ、それをAaveでの担保として使用させました。
 
Aaveに現在残る1億7700万ドルの不良債権は、DeFiのシステム的リスクの連鎖を浮き彫りにしている。プロトコルの組み合わせ性はユーザーに利点をもたらす一方で、プロトコル間の境界を越えた失敗モードも生み出している。クロスチェーンブリッジは、アーキテクチャの改革が単一障害点の構成を解決するまで、業界で最も弱いリンクのままである。
 
DeFi参加者にとっての教訓は、この空間を放棄することではなく、リスクをより正確に理解することです。攻撃者は、簡単に流動化できない2億9200万ドル相当のフラグ付き資産を保有しています。Aaveに関しては、回復にはガバナンス資金によるメカニズムが関与しますが、明確なタイムラインは保証されていません。プロトコルは過去の課題を乗り越えてきましたが、今回の出来事は継続的な構造的対応を必要とする限界を露呈しました。
 

よくある質問

Q: KelpDAOの攻撃後、私のETHはAave上で安全ですか?
AaveのWETHプールには1億7700万ドルの不良債務が存在しますが、これは総TVL(207億ドル)の1%未満です。ガバナンスは回収策について積極的に議論中です。回収のタイムラインとメカニズムに関する最新情報は、Aaveのガバナンスアナウンスメントをご確認ください。
 
質問:盗まれたrsETHはどのように処理されましたか?
A: rsETHが複数のチェーンにわたり2億9200万ドルがフラグされています。攻撃者はこれらの資産を容易に凍結を引き起こすことなく Liquidate することはできません。ジャスティン・サンは、資金の返還に関して攻撃者と交渉すると公に表明しました。
 
Q: KelpDAOの攻撃の責任者は誰ですか?
A:テクニカル分析によると、LayerZeroの1-of-1 DVN設定が悪用された可能性があります。これにより、攻撃者はクロスチェーンメッセージを偽造し、裏付けのないrsETHを発行することが可能となりました。この脆弱性はLayerZeroのコアプロトコルではなく、KelpDAOのブリッジ設定にありました。
 
Q: Aaveは1億7700万ドルの不良債権を回収できるか?
A: Aaveのガバナンスは、アンブレラプロトコルと財政準備金を通じた回復を模索しています。現在、確定したタイムラインは存在しません。攻撃者は無担保のコラテラルに対して126,000 ETHを借り入れました。回復には、ハッカーの協力またはガバナンス資金によるカバーが必要です。
 
Q: この攻撃の後、DeFiを避けるべきですか?
A: KelpDAOの攻撃はクロスチェーンのリスクを明らかにしましたが、すべてのDeFiプロトコルが安全でないことを意味するわけではありません。ご使用のプロトコルのブリッジ設定を監査し、クロスチェーン資産への露出を把握してください。プロトコル間での分散投資と適切な保有資産サイズの管理は、引き続き慎重な戦略です。
 
 

免責事項: このページは、お客様の便宜のためにAI技術(GPT活用)を使用して翻訳されています。最も正確な情報については、元の英語版を参照してください。