KelpDAOとは?その292Mドルのハッキングが2026年に暗号市場に与えた衝撃
2026/04/28 06:33:02
たった1つの偽造されたトランザクションが、DeFiプロトコルから1時間以内に約3億ドルを引き出し、さらに他の9つのプラットフォームに連鎖的な危機を引き起こすとしたら?
2026年4月18日、攻撃者はKelp DAOのLayerZero対応ブリッジを悪用し、116,500 rsETH(約2億9200万ドル、トークンの流通供給量の約18%)を奪取し、コア契約の緊急停止を引き起こしました。この出来事は即座に2026年最大のDeFi攻撃となり、Ethereumメインネットから20以上のレイヤー2ネットワークにまで投資家の信頼を揺るがしました。
これがなぜこれほど重要なのかを理解するには、まずKelpDAOが何であるか、どのようにDeFiで最も相互に接続されたエコシステムを構築したか、そしてそのクロスチェーンインフラの単一の弱いリンクが、全体のセクターの構造的脆弱性を露呈するのに十分だったのかを理解する必要があります。
主なポイント
-
KelpDAOはEigenLayer上に構築されたリキッドレストイーキングプロトコルで、ユーザーはrsETHトークンを通じてステーキング報酬を獲得しながら資産を流動性のまま保つことができます。
-
2026年4月18日、攻撃者はブリッジの脆弱性を悪用し、約2億9200万ドル相当の無担保rsETHトークン116,500枚を発行しました。これは2026年最大のDeFiハッキング事件です。
-
このハッキングは、盗まれたトークンをAaveで偽の担保として使用して実際のETHを引き出した北朝鮮のLazarus Groupと関連付けられています。
-
少なくとも9つのDeFiプロトコルが影響を受け、AaveのTVLは100億ドル減少し、2026年4月は1年以上で最も悪化した暗号資産ハッキング月となりました。
-
「DeFi United」という回復イニシアチブが開始され、Lido Finance、EtherFi、Aaveの創設者であるStani Kulechovが不足分を補填するため調整しました。
KelpDAOとは何ですか?
KelpDAOは、Ethereum上に構築されたレキシッド・リステーキングプロトコルで、ユーザーが資産の流動性を犠牲にすることなくステーキング報酬を最大化できます。従来のステーキングでETHをロックするのではなく、Kelp DAOはユーザーがLidoやRocket Poolなどのプロバイダーから得たリキッド・ステーキングトークン(LST)をEigenLayerを通じてリステーキングし、追加の報酬を獲得できます。
簡単に言えば、KelpDAOは「DeFiアンプラー」として機能します。あなたはステーキング済みのETH(stETHやcbETHなど)を入金し、プロトコルがそれをEigenLayerのオペレーターに委任します。その見返りとして、あなたは収益を生むリキッドなリステーキングトークンであるrsETHを受け取ります。
rsETHとは何ですか?
rsETHは、リステークされた保有資産と累積収益に対する請求権を表すトークンです。2026年4月までに、rsETHのTVLは10億ドルを超え、DeFiの主要な貸出市場および収益プラットフォームの多くで担保として統合されました。
rsETHは流動性が高いため、ユーザーはそれを取引したり、それを担保に借入したり、収益戦略に活用したりできます。その一方で、EigenLayerの報酬は裏で引き続き獲得できます。この「二重取り」メカニズムにより、KelpDAOはエコシステムで最も人気のあるリクイッドレストキングプロトコルの一つとなりました。
KelpDAOの主要機能
KelpDAOはrsETHを発行し、Gain Vaultsを運営しています。Gain VaultsはLayer-2ネットワーク用の自動収益およびエアドロップポイント最適化ツールです。ユーザーはETH、stETH、ETHx、rsETHをGain Vaultsに預けて、手間をかけずに追加の収益を獲得できます。
このプロトコルは10以上のネットワークで動作しており、攻撃前には20億ドル以上の総ロックアップ価値(TVL)を蓄積していました。Aave、Arbitrum、Base、Linea、Mantleとの統合により、rsETHはDeFiスタック全体に深く組み込まれていました。
2026年4月のKelpDAOハッキング:何が起きたのか?
攻撃ベクトル:1-of-1 ブリッジの脆弱性
攻撃は段階的に展開された:攻撃者はLayerZeroの検証システムで使用されるRPCノードを侵害し、トランザクションデータを操作するために悪意のあるバイナリを展開し、フォールバックを侵害されたインフラに強制する協調的なDDoS攻撃を実行し、最終的に偽のクロスチェーンメッセージを受け入れさせることで、裏付けのない116,500 rsETHの発行を引き起こした。
重要な失敗ポイントはKelpDAOの検証設定でした。オンチェーンフォレンジックでは、攻撃ベクトルが精密であると説明され、外部のRPCをDDoS攻撃しながら内部のRPCを汚染し、1-of-1 DVN(分散型検証ネットワーク)の検証設定を悪用しました。1つの検証者。1つの障害点。
これは、数億ドルにのぼる不正なクロスチェーン取引を承認するために、単一の compromized ノードだけで十分だったことを意味した。
タイムライン
2026年4月18日17時35分(UTC)に、攻撃者がブリッジを悪用しました。緊急停止用マルチシグは、46分後の18時21分(UTC)にKelp DAOのコア契約を停止しました。その後、18時26分と18時28分(UTC)に2回の資金引き出し試行が行われ、それぞれ追加で40,000 rsETHを引き出そうとしましたが、両方とも失敗しました。
攻撃の速さは驚異的だった。1時間もかからず、攻撃者は偽のトークンを発行し、それらをAaveの担保として使用して、存在する最大のDeFi貸出プロトコルから実際のETHを搾取した。
ブリッジ攻撃からAave危機へ
ハッキングはKelpDAOにとどまらず、攻撃者は約90,000 rsETHをAaveに担保として入金し、EthereumおよびArbitrum上で約1億9,000万ドル分のETHその他の資産を借り入れました。これによりAaveの担保が劣化し、貸し手たちが利用可能な資金を引き出そうと殺到し、入金引き出しのラッシュを引き起こしました。
Aaveの事故報告によると、この出来事後、Aave上の資産の総価値は100億ドル減少し、不良債務の穴は112,000 rsETH以上と推定されています。
日曜日のアジア取引時間中にパニックが広がり、Aaveのネイティブトークンは20%下落しました。
リップル効果:ハッキングが広範なDeFiエコシステムに与えた影響
9つのプロトコルが影響、130億ドルの引き出し
Aave V3はrsETH市場を凍結し、SparkLendは暴露を凍結した一方、Fluid、Compound、Eulerなどはリスクを抑制するために動きました。少なくとも9つのプロトコルが影響を受けました。ユーザーが他の誰かよりも先に資金を引き出そうと駆け込んだ結果、DeFiの入金額は48時間で130億ドル減少しました。4月にハッカーが盗んだ1ドルに対して、DeFiユーザーは約20ドルをシステムから引き出しました。このように、1つの攻撃がはるかに大きな資本の流出を引き起こすという増幅効果こそが、ブリッジハックを非常に破壊的にする理由です。ブリッジハックは価値を盗むだけでなく、信頼を破壊します。
rsETHが20以上のチェーンに取り残されています
ブリッジが20以上のネットワーク上でrsETHを裏付ける準備金を保有していたため、この損失はLayer 2上のrsETHの裏付けに対する疑念を生み出し、Aave、SparkLend、Fluidなどのプロトコルによって市場の凍結が発生しました。Arbitrum、Base、Mantle、Lineaおよびその他のブリッジされたチェーン上のrsETH保有者は、Ethereumのエスクローに対する1:1の請求と確実に交換できないトークンを抱えることになりました。引き出しは一時停止され、DEXプールから流動性が引き出されました。
KernelDAOが矢面に立たされる
KelpDAOは、より広範なKernelDAOエコシステムの下で運営されています。攻撃後の7日間で、KERNELトークンは19.9%下落しました。KernelDAOの時価総額は約2,000万ドルまで低下し、プロトコルの時価総額はTVLの48分の1となりました。
KelpDAOのハッキングの背後には誰がいたのか?
4月18日、攻撃者(おそらく北朝鮮のラザルスグループ)がRPCノードを侵害し、単一検証者によるクロスチェーン構成を悪用して116,500枚の裏付けのないrsETHトークンを発行した結果、KelpDAOは約2億9千万ドルを奪われました。この攻撃で使用されたメッセージインフラを提供したLayerZeroは、自社のコアプロトコルに問題はないと述べています。
Lazarus Groupは10年間暗号資産を奪い続けてきた。2025年だけで、業界全体で盗まれた資金の約59%を奪った。彼らは2026年4月にDrift Protocolから2億8500万ドル、KelpDAOから2億9200万ドルを奪い、両方の攻撃は数か月にわたるソーシャルエンジニアリングによって仕組まれた。
これは脅威の状況における重要な転換点です。Immunefiの創設者であるミッチェル・アマドールが指摘したように、コードの攻撃が難しくなる中、2026年におけるハッカーの主な標的は人間です。ブリッジインフラ自体が必ずしも破損していたわけではなく、検証ノードを操作する人間が欺かれたのです。
2026年4月:1年以上で最も悪質な暗号資産ハッキング月
KelpDAOのハッキングは孤立した出来事ではなかった。2026年4月は、12件の出来事で6億600万ドルが奪われ、1年以上で最も悪質な月となった。これは第1四半期のすべてのハッキング事例の合計の3倍以上であり、まだ月は終わっていなかった。
その他の4月の事例には、DEX集約プラットフォームCoW Swapに対する120万ドルのドメインハイジャック攻撃、NEARネットワークにおける1840万ドルのオラクル操作、およびBinance Smart Chainにおける160万ドルのフラッシュローン攻撃が含まれます。DeFiの合計ロックアップ価値は、1660億ドルから890億ドルにまで急落しており、この劇的な低下は、このセクターを襲っている信頼危機の規模を示しています。
回復活動:「DeFi United」
Aaveおよび複数の主要な暗号資産企業が、攻撃により業界最大の貸出機関が大きな資金不足に陥った後、DeFi市場を安定化させるための回復活動"DeFi United"を協調して推進しています。Lido Finance、EtherFi、そしてAaveの創設者であるStani Kulechovらが、この穴を埋めるためにETHを提供することを提案しています。
4月21日、Arbitrumのネットワークセキュリティ委員会は、攻撃者による不正取得資金として30,766 ETH(7,100万ドル)を凍結し、盗まれた資産の約25%を回収しました。回収は遅く進むでしょう。rsETHがペグを完全に回復できるかどうか、そしてKelpDAOが償還を守りながらユーザーの信頼を再構築できるかどうかは、2026年第二四半期を迎えるにあたり未解決の課題です。
なぜブリッジハッキングが繰り返されるのか?
$292百万のKelp DAO攻撃のようなCryptoブリッジのハッキングは、ブリッジがブロックチェーン活動を完全に検証するのではなく、信頼できる仲介者や外部データソースに依存しているため、攻撃者が操作しやすい機会を生み出しており、問題はバグやミスではなく構造的なものです。
ブリッジのハッキングは、通常はその範囲にとどまらない。ブリッジされた資産は、レンディングプロトコル、流動性プール、イールド戦略など、さまざまな場所で利用される。これらの資産が侵害されると、被害は拡大する。1inchの共同設立者であるセルゲイ・クンツは次のように説明した。「他のプラットフォームは、ハッキングされた資産を正当なものと見なすことがある。それが感染が広がる理由だ。」
2021年以降、クロスチェーンブリッジは暗号資産分野で最も多く攻撃されたインフラであり、これまでに28億ドル以上が奪われました。これはWeb3で盗まれた金額の約40%に相当します。KelpDAOの事件は異常な事例ではなく、数年間続いてきた構造的な問題の継続にすぎず、業界はまだ包括的な解決策を提供できていません。
What the HackがDeFiの将来に与える影響
DeFiへの信頼は「低下」しており、Ledgerのセキュリティ担当バイスプレジデントであるチャールズ・ギルメは、2026年は「再びハッキングの面で最も悪質な年になる可能性が高い」と警告した。しかし、すべての専門家が悲観的というわけではない。Curve Financeのマイケル・エゴロフは明るい側面を認め、「暗号資産は、どの銀行も生き残れなかった過酷な環境だが、私たちはその中で働いている。私はDeFiがこの出来事から学び、以前よりも強くなるだろうと考えている。」
KelpDAOの出来事は、マルチシグナー橋設計、クロスチェーン設定に対する必須セキュリティ監査、および貸出プロトコルにおける厳格なコラテラル導入基準についての議論を加速させています。これらの議論が、次の主要な不正アクセスを防ぐために実際の変化を生み出すかどうかが、2026年のDeFiにおける決定的な問いです。
KuCoinでDeFiおよびEthereumエコシステムトークンを取引する方法
KelpDAOのハッキングにより、リキッドレストイーキングプロトコル、Ethereumデリバティブ、およびDeFiガバナンストークンの価格決定と取引方法に対する関心が再燃しました。AAVEの取引、ETHの変動率の監視、またはレストイーキング関連トークンの探索など、この急速に動く市場イベントに対応したい場合、KuCoinはこの話の中心にあるトークンに深い流動性を提供しています。
KuCoinのスポットおよび先物市場では、AAVE、ETH、および幅広いDeFiトークンを競争力のある手数料で取引できます。プラットフォームはリアルタイムの市場データとニュースアラートも提供しており、KelpDAOハッキングのような危機イベント時には、数時間でトークン価格が20%変動することもあるため、特に役立ちます。新規ユーザーはKuCoinに登録して、DeFiセクターが進化し続ける中で、ボラティリティの高い市場環境に対応するためのフル機能の取引ツールを利用できます。
さらに読む:
結論
KelpDAOは、rsETHを通じてトークンの流動性を維持しながら、ユーザーが重層的なEthereum報酬を獲得できるようにする、DeFiで最も野心的なリキッドレストイキングエコシステムの1つを構築しました。しかし、2026年4月のブリッジ攻撃は、相互に接続されたDeFi環境において、1つの誤設定されたバリデーターノードが2億9200万ドルの脆弱性となり得ることを示しました。
このハッキングは、2026年で最大規模であり、北朝鮮のラザルスグループによるものとされているが、瞬時に9つのプロトコルに波及し、Aaveから100億ドルの引き出し波を引き起こし、2026年4月を1年以上で最も悪質な暗号資産ハッキング月にした。「DeFi United」を通じた協調的な回復が進行中であり、Arbitrumは攻撃者の資金約7100万ドルを凍結しているが、完全な補填への道は依然として不透明である。
広範な暗号資産市場にとって、KelpDAOの出来事は警告であり、変革を促す要因でもある。ブリッジインフラは複数の独立した検証レイヤーを備えて再設計される必要があり、貸出プロトコルはより保守的な抵当品基準を採用する必要がある。また、業界はLazarusのような国家支援ハッキンググループを恒常的な敵と見なさなければならない。この危機から生まれるDeFiエコシステム(もしそれが生まれるなら)は、おそらくよりレジリエントになるだろうが、その道のりは苦痛を伴うだろう。
よくある質問
ハッキング後、KelpDAOはまだ運用していますか?
KelpDAOは、不正アクセスが検出された直後に、メインネットおよび複数のLayer-2上でコア契約の運用を一時停止しました。チームは、LayerZero、Unichain、監査人、セキュリティ専門家と協力して復旧作業を進めていることを確認しました。完全な運用の再開は、「DeFi United」復旧イニシアチブの結果と、rsETHが1:1のペグを回復できるかどうかに依存します。
KelpDAOの攻撃でLayerZero自体がハッキングされましたか?
LayerZeroは、そのコアプロトコルに問題はなかったと述べました。この脆弱性は、KelpDAOがLayerZeroのクロスチェーンメッセージングを特定の設定で使用したことに起因しており、具体的には単一検証者(1-of-1 DVN)設定を使用したことで、攻撃者に悪用された単一障害点が生じました。
ハッキング後、rsETHの価値にはどのような変化がありましたか?
ハッキング後、rsETHの価値とペグは深刻な圧力にさらされた。20以上のチェーンで引き出しは一時停止され、DEXプールから流動性が逃げ出した。メインネットのrsETHはEigenLayer内の正当なユーザー入金によって裏付けられているが、レイヤー2ネットワーク上のブリッジされたrsETHは信頼できる1:1の換金権を失い、保有者が立ち往生した。
DeFiユーザーは今後、同様のハッキングからどのように身を守ればよいですか?
ユーザーはプロトコル間での曝露を分散させ、貸出プラットフォーム上でリステーキングトークンを担保として集中させず、ブリッジのセキュリティに関する開示を注意深く監視すべきです。マルチバリデーターブリッジ設計、アクティブなバグバウンティプログラム、透明性の高いセキュリティ監査を持つプロトコルを優先することで、ブリッジ関連の攻撃への曝露を大幅に削減できます(ただし、完全には排除できません)。
免責事項:本記事は情報提供を目的としたものであり、財務または投資アドバイスを構成するものではありません。仮想通貨への投資には大きなリスクが伴います。取引前に必ずご自身で調査を行ってください。
免責事項: このページは、お客様の便宜のためにAI技術(GPT活用)を使用して翻訳されています。最も正確な情報については、元の英語版を参照してください。