2億9200万ドルが消えた日、DeFiは終わったのか
Kelp DAOへの大規模ハッキングがDeFi全体に波及。Aaveで6200億円超の預金が流出し、クロスチェーン設計の根本的な脆弱性が露呈した。暗号資産投資家が今考えるべきこととは。
「ただAaveを使えばいい」——その言葉は、もう通用しないかもしれない。
2026年4月19日、分散型金融(DeFi)の世界に激震が走りました。Kelp DAOのリキッドリステーキングトークン「rsETH」が約2億9200万ドル(約430億円)規模のハッキング被害を受け、その余波はプロトコルの境界を越えて瞬く間に広がりました。被害を受けたのはKelp DAOだけではありません。DeFi全体が、一夜にして揺らいだのです。
何が起きたのか——「空から降ってきた」116,500rsETH
攻撃の手口は、暗号を破ったわけでも、スマートコントラクトのバグを突いたわけでもありませんでした。攻撃者が悪用したのは、設定ミスです。
LayerZeroのクロスチェーンメッセージング基盤において、異なるブロックチェーン間でメッセージを検証する「DVN(分散型検証ネットワーク)」が、たった1つのノードで構成された状態になっていました。攻撃者はこの脆弱な検証レイヤーを悪用し、「別のネットワークから正規の指示が届いた」とシステムに思い込ませることに成功。その結果、116,500rsETH(rsETH総供給量の約18%)が攻撃者の管理するアドレスに送られました。
開発者のcryptogoblinはX(旧Twitter)でこう説明しています。「コントラクトは壊れていなかった。壊れていたのは検証レイヤーだった」。
ローラーコースターのたとえを使ったのは、Fishy Catfishというユーザーです。「もし遊園地が安全基準を個別に決めていいとしたら、どうなるか想像してほしい」——つまり、柔軟性のある「モジュラーセキュリティ」設計が、最低限の安全基準なしに運用されると、見えないリスクを生み出すという指摘です。
連鎖反応——Aaveから6,200億円が逃げた
ハッキングの直接被害にとどまらず、恐怖が恐怖を呼ぶ「バンクラン」が発生しました。
rsETHを担保として受け入れていた大手レンディングプロトコルAaveでは、預金者がパニックに陥りました。ETHを直接引き出せないユーザーが、ステーブルコインを借りることで間接的に資産を逃がそうとする動きが広がり、市場参加者のJosu San Martinは「これはAaveへの本格的な取り付け騒ぎだ」と表現しました。
数字が物語ります。Aaveの総預金額(TVL)は4月18日の264億ドルから、翌19日の米国時間午前中には約200億ドルへと急落。純資金流出は約62億ドル(約9,200億円)に達しました。Aaveのトークン価格も18%超下落しました。
Aave創業者のStani Kulechov氏は「Aave自体のコントラクトは侵害されていない」と強調しましたが、預金者の不安を止めることはできませんでした。Morpho、Sky、JupLendなど他のレンディングプロトコルでも資金流出が確認され、ソラナチェーン上の無関係なプロトコルにまで影響が波及しました。
各プロトコルは迅速に対応し、rsETH関連市場を凍結。Lidoも関連資産への入金を一時停止しました。
なぜ今、これが重要なのか
このインシデントは、孤立した事故ではありません。2026年4月は、DeFiにとって異例に過酷な月となっています。
4月1日には、ソラナ系の無期限先物プロトコルDriftが約2億8500万ドルの被害を受け、後に北朝鮮系ハッカー集団との関連が指摘されました。その後もCoW Swap、Zerion、Rhea Finance、Silo Financeなど十数件の小規模ハッキングが続いています。
今回のKelp DAOハッキングが際立つのは、単一プロトコルの問題が、クロスチェーンインフラ・リステーキングモデル・レンディング市場という3つの異なる領域を同時に揺るがした点です。これは、DeFiの相互依存性がいかに深いかを示しています。
DeFiの総預金額(TVL)は2021年のピーク時に比べて既に大幅に縮小しており、今回の事件はさらなる信頼毀損につながりかねません。一方で、LayerZeroやKelpDAOはまだ根本原因の特定を続けており、セキュリティ組織SEALと協力して事後報告書の作成を進めています。
投資家・開発者・規制当局、それぞれの受け止め方
投資家の視点から見れば、「分散型」だから安全という前提が崩れた瞬間です。リキッドリステーキングトークン(LRT)は、ETHを動かしながら利回りを得られる魅力的な仕組みでしたが、その複雑さが今回、リスクの連鎖を生みました。「どのプロトコルに預けても安全ではないかもしれない」という不安は、DeFi全体への資金流入を鈍らせる可能性があります。
開発者コミュニティでは、「設定ミス」か「設計上の欠陥」かで議論が分かれています。cryptogoblinのように「これはKelp固有の設定問題であり、LayerZero自体の問題ではない」と主張する声がある一方、Fishy Catfishのように「最低限のセキュリティ基準を設けないモジュラー設計そのものに問題がある」と指摘する声もあります。この議論の行方が、今後のクロスチェーンインフラの設計思想を左右するかもしれません。
規制当局の視点では、今回の事件はDeFiへの監督強化を求める声を後押しする材料になり得ます。日本でも金融庁が暗号資産交換業者への規制を段階的に強化してきましたが、DeFiのような「管理者不在」のプロトコルへの対応は、世界中の規制当局にとって未解決の課題です。
日本市場への影響という観点では、国内の暗号資産取引所がrsETHやAaveトークンを取り扱っているケースは限定的ですが、DeFi全体への信頼低下は、ブロックチェーン技術を活用した金融サービスの普及に向けた取り組みにも影を落とす可能性があります。
本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。
関連記事
Kelp DAOのクロスチェーンブリッジから約292億円相当のrsETHが流出。AaveやSparkLendが緊急凍結。2026年最大のDeFiハックが示すクロスチェーン設計の根本的リスクとは。
ポーランドの暗号資産取引所Zondacryptoが、出金停止・政界工作疑惑・前CEOの失踪という三重の危機に直面。約330億円相当のビットコインに誰もアクセスできない事態が示す、業界の構造的問題とは。
イランがホルムズ海峡の再閉鎖を発表。ビットコインは一時$78,000まで急騰したものの$76,000台に反落。$7億6200万ドルの清算を巻き込んだ「1日天下」の相場を詳細解説。
カルダノ創設者チャールズ・ホスキンソンがビットコインの量子コンピュータ対策案BIP-361を批判。約170万BTCが永久凍結される可能性と、ビットコインのガバナンス問題を詳しく解説します。
Kelp DAOのクロスチェーンブリッジから約292億円相当のrsETHが流出。AaveやSparkLendが緊急凍結。2026年最大のDeFiハックが示すクロスチェーン設計の根本的リスクとは。
ポーランドの暗号資産取引所Zondacryptoが、出金停止・政界工作疑惑・前CEOの失踪という三重の危機に直面。約330億円相当のビットコインに誰もアクセスできない事態が示す、業界の構造的問題とは。
イランがホルムズ海峡の再閉鎖を発表。ビットコインは一時$78,000まで急騰したものの$76,000台に反落。$7億6200万ドルの清算を巻き込んだ「1日天下」の相場を詳細解説。
カルダノ創設者チャールズ・ホスキンソンがビットコインの量子コンピュータ対策案BIP-361を批判。約170万BTCが永久凍結される可能性と、ビットコインのガバナンス問題を詳しく解説します。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加