2026年最大のDeFi流出:292億円が消えた夜
Kelp DAOのクロスチェーンブリッジから約292億円相当のrsETHが流出。AaveやSparkLendが緊急凍結。2026年最大のDeFiハックが示すクロスチェーン設計の根本的リスクとは。
土曜日の夜、誰かが「存在しないはずの指示」を送り込み、2920億円相当の暗号資産が46分間で消えた。
何が起きたのか:46分間の沈黙と崩壊
2026年4月18日、17時35分(UTC)。Kelp DAOのクロスチェーンブリッジが攻撃を受けた。攻撃者はLayerZeroのクロスチェーンメッセージング層を欺き、他のネットワークから正当な指示が届いたように見せかけた。その結果、ブリッジは116,500 rsETH——流通供給量の約18%、現在価格で約2920億円相当——を攻撃者が管理するアドレスに送金した。
Kelp DAOとは何か。簡単に言えば、ユーザーが預けたETHをEigenLayer経由でルーティングし、通常のイーサリアムステーキング報酬に加えて追加利回りを得る「リキッドリステーキングプロトコル」だ。rsETHはその預かり証として発行されるトークンであり、Base、Arbitrum、Linea、Blast、Mantleなど20以上のブロックチェーンに展開されている。今回流出したブリッジは、これら全てのレイヤー2ネットワーク上のrsETHの裏付け準備金を保管していた。
Kelpの緊急停止マルチシグがコアコントラクトを凍結したのは、流出から46分後の18時21分。その後18時26分と18時28分に、それぞれ約100億円相当の追加流出を狙う同一パケットによる試みが確認されたが、いずれも失敗に終わった。Kelpが公式にX(旧Twitter)で最初の声明を出したのは、流出から約3時間後の20時10分だった。
連鎖する凍結:DeFiエコシステムへの波及
問題はKelp単独では終わらなかった。ブリッジに保管されていた準備金が失われたことで、20以上のネットワーク上のrsETH保有者は「自分のトークンに裏付けがあるのか」という根本的な疑問に直面することになった。
AaveはV3とV4のrsETH市場を数時間以内に凍結。創業者のStani Kulechov氏は「今回の攻撃は外部のものであり、Aaveのコントラクト自体は侵害されていない」と明言したが、市場はAAVEを約10%下落させた。潜在的な不良債権リスクを織り込んだ動きだ。SparkLendとFluidも同様にrsETH市場を凍結。Lido FinanceはrsETHへのエクスポージャーを持つ「earnETH」への追加入金を停止した(ただしstETHとwstETHは無関係と明言)。EthenaはLayerZero OFTブリッジを予防的に約6時間停止したが、rsETHへのエクスポージャーはなく、担保比率は101%超を維持していると説明した。
この連鎖反応が示すのは、DeFiエコシステムの相互依存の深さだ。一つのブリッジが破られると、接続された全てのプロトコルが自衛のために動かざるを得ない。
なぜ今、これが重要なのか
Kelpの2920億円流出は、2026年最大のDeFiハックとなった。4月1日に発生したDrift(Solanaベースのパーペチュアルプロトコル)の約2850億円流出——北朝鮮系ハッカーとの関連が指摘されている——をわずかに上回る規模だ。CoW Swap、Zerion、Rhea Finance、Silo Financeなど、直近数週間だけで十数件の小規模攻撃も発生しており、2026年はDeFiにとって特に厳しい年となっている。
より根本的な問題は、クロスチェーン設計そのものへの問いかけだ。LayerZeroのような「異なるブロックチェーン間で検証済みの指示を送るインフラ」は、DeFiの利便性を飛躍的に高めた。しかしその検証ロジックに穴があれば、20以上のチェーンに展開された準備金が一度の攻撃で消える。利便性とリスクは、コインの表と裏だったのかもしれない。
日本の暗号資産市場においても、この事件は無縁ではない。金融庁(FSA)は近年、DeFiプロトコルの規制枠組みの整備を進めているが、クロスチェーンブリッジのリスク評価は既存の規制概念では捉えにくい。日本の機関投資家や個人投資家がDeFiへのエクスポージャーを持つ場合、今回のような「準備金が突然消える」リスクをどう評価すべきか、明確な指針はまだ存在しない。
誰が損をして、誰が問われるのか
直接の被害者は、20以上のレイヤー2ネットワーク上のrsETH保有者だ。自分のトークンの裏付けが失われた可能性に直面している。次に、rsETHを担保として利用していたDeFiユーザー——Aave、SparkLend、FluidのrsETH市場参加者——は、凍結によって資産を動かせない状況に置かれた。
一方で、問われるべき存在もある。LayerZeroの検証ロジックはなぜ偽の指示を通してしまったのか。Kelpの監査は何を見逃したのか。そして、20以上のチェーンに準備金を一元管理するアーキテクチャを選択した設計判断は適切だったのか。
攻撃者がTornadoCash経由で資金を洗浄する前に、Kelpが資金の一部でも回収できるかどうか。それが週末を越えてrsETHのペッグが維持されるかどうかの鍵を握っている。
本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。
関連記事
イランとパキスタンの停戦交渉進展を受け、ビットコインが75,000ドルを回復。しかしマイナーの記録的売却と46日連続のネガティブ資金調達率が示す構造的な弱さとは何か。
2週間余りで500億円超が流出。北朝鮮系ハッカー集団ラザルスによるDriftとKelpへの連続攻撃が示すのは、もはや「一回限りのハック」ではなく、国家が主導する持続的なサイバー作戦の存在だ。DeFiの構造的脆弱性と日本市場への示唆を読み解く。
KelpDAOへの292億円規模のブリッジ攻撃を発端に、DeFi全体のTVLが48時間で約1.3兆円急減。Aaveだけで8,450億円の預金が流出。クロスチェーン基盤の脆弱性と分散型金融の相互依存リスクを解説します。
Kelp DAOへの大規模ハッキングがDeFi全体に波及。Aaveで6200億円超の預金が流出し、クロスチェーン設計の根本的な脆弱性が露呈した。暗号資産投資家が今考えるべきこととは。
イランとパキスタンの停戦交渉進展を受け、ビットコインが75,000ドルを回復。しかしマイナーの記録的売却と46日連続のネガティブ資金調達率が示す構造的な弱さとは何か。
2週間余りで500億円超が流出。北朝鮮系ハッカー集団ラザルスによるDriftとKelpへの連続攻撃が示すのは、もはや「一回限りのハック」ではなく、国家が主導する持続的なサイバー作戦の存在だ。DeFiの構造的脆弱性と日本市場への示唆を読み解く。
KelpDAOへの292億円規模のブリッジ攻撃を発端に、DeFi全体のTVLが48時間で約1.3兆円急減。Aaveだけで8,450億円の預金が流出。クロスチェーン基盤の脆弱性と分散型金融の相互依存リスクを解説します。
Kelp DAOへの大規模ハッキングがDeFi全体に波及。Aaveで6200億円超の預金が流出し、クロスチェーン設計の根本的な脆弱性が露呈した。暗号資産投資家が今考えるべきこととは。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加