北朝鮮は暗号資産を「兵器」にした
2週間余りで500億円超が流出。北朝鮮系ハッカー集団ラザルスによるDriftとKelpへの連続攻撃が示すのは、もはや「一回限りのハック」ではなく、国家が主導する持続的なサイバー作戦の存在だ。DeFiの構造的脆弱性と日本市場への示唆を読み解く。
5億ドル。この金額が、わずか18日間で消えた。被害者は最先端の分散型金融プロトコル2つ。そして犯人は、国家の「財布」として暗号資産市場を標的にし続けている集団だ。
2026年4月、暗号資産業界は立て続けに2つの大型ハッキングに見舞われた。まず取引プラットフォームのDriftが、次いでリステーキングプロトコルのKelpが攻撃を受け、合計で5億ドル(約750億円)以上が流出した。米国や国連の調査機関は、いずれも北朝鮮系ハッカー集団「ラザルスグループ」の関与を指摘している。
しかし今回の事態が単なる「大型ハッキング事件」で終わらない理由がある。それは、攻撃の「質」が変わってきているからだ。
「嘘に署名しても、嘘は嘘だ」——Kelpはどう破られたか
Kelpの攻撃において、ハッカーたちは暗号を「解読」したわけではない。システムそのものは、設計通りに動いていた。問題は別のところにあった。
攻撃者たちはシステムに流れ込むデータそのものを改ざんし、存在しない取引を「正当なもの」として承認させた。セキュリティ企業SVRNのCOO、デイビッド・シュウェッド氏はこう説明する。「この攻撃は暗号技術を破ることではなかった。システムの設計上の選択を悪用したのです」
ENS LabsのCISO兼法務顧問、アレクサンダー・ウルベリス氏は端的に言い表す。「署名された嘘は、やはり嘘だ。署名は発信者を保証するが、内容の正確さは保証しない」
技術的な核心は、Kelpが採用していた「シングルベリファイア(単一検証者)」という設定にある。クロスチェーンのメッセージを承認する「チェッカー」を一つだけに絞ることで、処理速度とシンプルさを優先した設計だ。しかしこれは、銀行振込に一人の承認者しかいないようなもの。その一点が突破されれば、すべてが崩れる。
LayerZeroは事後、複数の独立した検証者を使うよう推奨した。だがKelp側は「LayerZeroのデフォルト設定がそもそもシングルベリファイアだった」と反論し、責任の所在をめぐる論争が続いている。シュウェッド氏はより根本的な問題を指摘する。「安全でないと分かっている設定を、オプションとして提供すべきではない。ドキュメントを全員が読んで正しく設定することを前提にしたセキュリティは、現実的ではない」
被害はKelp単体にとどまらなかった。DeFiの世界では、あるプロトコルの資産が別のプロトコルの担保として使われることが多い。今回、Kelpの影響を受けた資産を担保として受け入れていた大手レンディングプロトコルAaveは、最大2億3,000万ドル(約345億円)の損失に直面する可能性があると報告している。
「分散型」という名の幻想
この一連の攻撃は、DeFi業界が長年抱えてきた矛盾を改めて浮き彫りにした。
「シングルベリファイアは分散型ではない。中央集権的な分散型検証者だ」とシュウェッド氏は言う。ウルベリス氏はさらに踏み込む。「分散型とは、システムが持つ固定的な性質ではない。選択の積み重ねだ。そしてそのスタックは、最も中央集権的な層と同じ強さしか持てない」
表向きは「誰も管理しない」システムでも、データプロバイダーやインフラ層など目に見えにくい部分に、実は一点集中のリスクが潜んでいることがある。ラザルスグループはまさにそこを狙い始めている。クロスチェーンブリッジやリステーキングプロトコルという「DeFiの配管」、すなわちシステム同士をつなぐ複雑な基盤層だ。これらは大量の資産を保有しながら、監視が行き届きにくく、設定ミスも起きやすい。
ウルベリス氏はこう警告する。「これは一連の事件ではなく、リズムだ。パッチを当てることで調達スケジュールから逃れることはできない」
日本市場への示唆——対岸の火事ではない
日本の暗号資産投資家や金融機関にとって、この問題はどう映るだろうか。
日本は2018年のコインチェック事件(約580億円の被害)を経験し、金融庁による暗号資産交換業者への規制強化を進めてきた。しかし今回のKelp事件が示すのは、規制の枠組みが及びにくいDeFiプロトコルそのものの脆弱性だ。日本の個人投資家がDeFiに資産を預けている場合、その資産が今回のような「連鎖的な損失」に巻き込まれるリスクは、決して遠い話ではない。
また、北朝鮮のサイバー活動は地政学的にも日本と無縁ではない。国連安全保障理事会の報告書によれば、ラザルスグループが窃取した資金の一部は、北朝鮮の核・ミサイル開発プログラムの資金源になっているとされる。隣国の軍事的脅威と、デジタル資産市場のリスクが、今や直接つながっている。
日本の金融機関や機関投資家が今後DeFiへの関与を深める場合、「スマートコントラクトの監査」だけでなく、クロスチェーンインフラや検証者の設計まで含めたより深いレベルのデューデリジェンスが求められるだろう。
既知の脆弱性が、最大のリスク
ラザルスグループが今回使ったのは、新しい攻撃手法ではなかった。既知の設計上の弱点を、体系的に、組織的に突いた。それが最も厄介な点かもしれない。
「最大のリスクは未知の脆弱性ではなく、十分に対処されていない既知の脆弱性だ」——専門家たちの言葉は重い。攻撃側が「調達スケジュール」で動いているとすれば、防御側も同じ規律で臨まなければならない。しかしDeFiの世界では、セキュリティはいまだに「推奨事項」として扱われることが多く、「要件」にはなっていない。
Bitcoinは今回の混乱を受けて一時76,000ドルを割り込み、DeFi全体から140億ドルもの資金が流出した。市場の動揺は数字の上でも明らかだ。
本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。
関連記事
KelpDAOへの292億円規模のブリッジ攻撃を発端に、DeFi全体のTVLが48時間で約1.3兆円急減。Aaveだけで8,450億円の預金が流出。クロスチェーン基盤の脆弱性と分散型金融の相互依存リスクを解説します。
Kelp DAOへの大規模ハッキングがDeFi全体に波及。Aaveで6200億円超の預金が流出し、クロスチェーン設計の根本的な脆弱性が露呈した。暗号資産投資家が今考えるべきこととは。
Kelp DAOのクロスチェーンブリッジから約292億円相当のrsETHが流出。AaveやSparkLendが緊急凍結。2026年最大のDeFiハックが示すクロスチェーン設計の根本的リスクとは。
ポーランドの暗号資産取引所Zondacryptoが、出金停止・政界工作疑惑・前CEOの失踪という三重の危機に直面。約330億円相当のビットコインに誰もアクセスできない事態が示す、業界の構造的問題とは。
KelpDAOへの292億円規模のブリッジ攻撃を発端に、DeFi全体のTVLが48時間で約1.3兆円急減。Aaveだけで8,450億円の預金が流出。クロスチェーン基盤の脆弱性と分散型金融の相互依存リスクを解説します。
Kelp DAOへの大規模ハッキングがDeFi全体に波及。Aaveで6200億円超の預金が流出し、クロスチェーン設計の根本的な脆弱性が露呈した。暗号資産投資家が今考えるべきこととは。
Kelp DAOのクロスチェーンブリッジから約292億円相当のrsETHが流出。AaveやSparkLendが緊急凍結。2026年最大のDeFiハックが示すクロスチェーン設計の根本的リスクとは。
ポーランドの暗号資産取引所Zondacryptoが、出金停止・政界工作疑惑・前CEOの失踪という三重の危機に直面。約330億円相当のビットコインに誰もアクセスできない事態が示す、業界の構造的問題とは。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加