Aave、LayerZeroブリッジを通じた2億3000万ドルのrsETH不正取得を受け、担保ルールを強化

Aaveは、2026年最大のDeFi攻撃によって露呈した隠れたシステム的リスク——不具合のある貸出コードではなく、侵害されたクロスチェーンブリッジ——を受けて、ルールを書き換えようとしている。 発生した出来事 - 4月、攻撃者はKelpDAOのrsETH（ユーザーが再利用したステーキング済みETHを表す「リステーキング」されたイーサー資産）を、LayerZeroブリッジを通じて偽のクロスチェーンメッセージを送信することで悪用した。 - LayerZeroネットワーク内の単一の検証者がこの偽のメッセージを承認し、受信チェーン上で116,500枚の無担保rsETHを発行することを可能にした。 - これらの偽のrsETHトークンはAave v3に担保として預けられ、約2億3,000万ドルの貸出が可能となったが、これらのトークンが無価値であることが判明した後、Aaveはその貸出を回収できなかった。 - 重要なのは、Aaveのスマートコントラクトは意図通りに動作していたことである。失敗はブリッジの検証プロセスにあった。LayerZeroは、「単一構成で高価値な検証設定を運用した」として「誤りを犯した」と認めた。 Aaveの対応：リスク基準の拡大と迅速な防御体制の強化 - 詳細な事後分析を通じて、AaveはV3上に上場されたすべての資産の全面的な見直しと、上場基準の再設計を発表した。同プロトコルは、従来の評価項目（変動率、流動性、スマートコントラクト監査）ではもはや十分でないと述べている。 - 今後、担保承認では、オフチェーンおよびクロスプロトコルインフラストラクチャ——ブリッジセキュリティと検証モデル、オラクル依存性、保管体制、サードパーティ契約、運用セキュリティ、二次市場流動性——を金融的・コード的リスクとともに明示的に評価する。 - Aaveはまた、資産に異常が生じた際に迅速に対応する自動保護機能を開発中である。提案されている対策の一つは、事前に定義されたリスク閾値が超過した場合、自動的に資産の貸出価値比率（LTV）をゼロに引き下げるものであり、損失が連鎖する前にその資産の借入力を無効化する。 即時的なリスク管理措置 - 攻撃以降、AaveのリスクチームはすでにV3マーケット全体で約295のパラメータ変更を実施しており、その内訳は168件の供給上限引き下げと66件の借入上限引き下げであり、脆弱な資産への露出を制限している。 なぜこれが重要なのか - この事件は、ブリッジ、メッセージネットワーク、その他のオフチェーン検証者といった日益複雑化するDeFiインフラが、従来のスマートコントラクト中心のレビューでは見落とされがちな攻撃面を生み出していることを浮き彫りにしている。 - Aaveの全面的な見直しは、業界全体の大きな転換を示している：プロトコルはトークン契約だけでなく、そのトークンが依存する外部インフラも評価する必要がある。DeFiがよりコンポーザブルになるにつれ、こうした依存関係はシステム的リスクを測定する上で中心的な要素となる。 結論：この攻撃は目覚めの鐘だった。Aaveはこれを機に、クロスチェーンおよび運用リスクを考慮した担保評価と自動安全メカニズムを推進しており、他のプロトコルもまもなく同様のモデルを採用せざるを得なくなるだろう。