2億9200万ドルが消えた日、DeFiは何を失ったか
Kelp DAOのクロスチェーンブリッジが2億9200万ドルの被害を受けた。北朝鮮系ハッカーの関与が疑われるこの事件は、DeFiの構造的脆弱性と量子コンピュータ時代の到来を同時に問いかけている。
システムは正常に動いていた。それが問題だった。
2026年4月19日、17時35分(UTC)。Kelp DAOのクロスチェーンブリッジから116,500 rsETH——現在の価格で約2億9200万ドル——が一瞬にして攻撃者のウォレットへと流れ込んだ。暗号化が破られたわけではない。鍵が盗まれたわけでもない。攻撃者はシステムの「信頼の前提」そのものを騙した。
何が起きたのか:信頼を武器に変えた攻撃
Kelp DAOは、ユーザーが預けたETHをEigenLayerを通じてリステーキングし、追加利回りを得られる仕組みを提供するプロトコルだ。預けたETHの「受け取り証書」として発行されるのがrsETHというトークンであり、これが20以上のブロックチェーン上でラップされた形で流通していた。そのブリッジインフラを担っていたのが、クロスチェーンメッセージングプロトコルのLayerZeroだ。
攻撃者が突いたのは、この「メッセージの信頼性」だった。別のネットワークから正当な指示が届いたとLayerZeroに誤認させることで、ブリッジを騙して116,500 rsETHを解放させた。実際にはトークンは送信元チェーンから出ていない——つまり、裏付けのないトークンが新たに「生成」されたに等しい状態だ。
Kelp DAOの緊急停止マルチシグが契約を凍結したのは、流出から46分後の18時21分。その後18時26分と18時28分に同じ手口でさらに4万rsETH(約1億ドル相当)を狙う追加攻撃が試みられたが、いずれも失敗に終わった。
連鎖する被害:Aaveへの波及
攻撃者は奪った資産を市場で売り浴びせるのではなく、巧妙な行動に出た。89,567 rsETHをAaveに担保として預け入れ、EthereumとArbitrumで合計約1億9000万ドル相当のETHおよび関連資産を借り出したのだ。
Aave Labsは迅速に対応し、rsETH市場を凍結、担保価値比率(LTV)をゼロに設定、新規借り入れを停止した。しかし問題は残る。損失をどう処理するかによって、Aaveが抱える不良債権の規模が大きく変わるからだ。
Kelp DAOがすべてのrsETH保有者に損失を分散させる「ソーシャライズ」方式を採った場合、rsETHは約15%のデペッグが生じ、Aaveの不良債権は約1億2400万ドル。一方、損失をLayer 2ネットワーク側に集中させる場合、ArbitrumやMantleを中心に不良債権は最大2億3000万ドルに膨らむ可能性がある。
予測市場Polymarketでは、損失をソーシャライズする確率は14%と低く見積もられている。2016年のBitfinexハッキング(被害額6000万ドル)で全ユーザーに損失を分散させた前例はあるが、今回それが繰り返される可能性は低いと市場は判断している。
なお、Arbitrumのセキュリティカウンシルは4月20日夜、法執行機関の情報提供を受け、攻撃者に関連する30,766 ETH(約7100万ドル相当)を凍結した。盗まれた資金の一部は既に動かせない状態にある。
北朝鮮の「ケイデンス」:偶発ではなく計画的な連鎖
今回の攻撃を単独の事件として見ることには無理がある。3週間足らず前、北朝鮮系ハッカーはソーシャルエンジニアリングを使って暗号資産取引会社Driftを攻撃し、多額の資金を奪っていた。KelpとDriftの2件を合わせると、2週間強で5億ドル超が流出した計算になる。
ENS LabsのCISOであるAlexander Urbelis氏はこう述べた。「これは一連のインシデントではない。これはケイデンス(一定のリズムを持つ連続攻撃)だ。パッチを当てることで調達スケジュールから逃げることはできない」
今回の攻撃の本質は、暗号の解読でも認証情報の窃取でもなかった。分散型システムが「前提として信頼している」データそのものを操作し、実際には起きていない取引を承認させた。これは技術的な脆弱性の悪用ではなく、設計思想への攻撃だ。
量子コンピュータ:遠い未来ではなく、今始める問題
こうした状況の中、Coinbaseが独立諮問委員会に委託した50ページの報告書が公表された。スタンフォード大学のDan Boneh氏、Ethereum FoundationのJustin Drake氏、Eigen LabsのSreeram Kannan氏らが参加したこの報告書は、量子コンピュータの脅威について「明日ではないが、準備は今日から」というメッセージを発している。
現在の量子コンピュータはBitcoinやEthereumの暗号を解読できるレベルには遠く及ばない。しかし、十分な能力を持つ「フォールトトレラント量子コンピュータ」の実現は「ますます現実的」になりつつあり、Googleの研究者も将来的にBitcoinの暗号が破られる可能性を示す推計を発表している。Ethereum Foundationはすでに量子耐性を持つデジタル署名方式の提案を行っており、Solanaも量子耐性ウォレットの実験を進めている。
日本市場への問い:制度と技術の間で
日本の暗号資産市場は、2018年のCoincheck事件(約580億円)以降、金融庁による厳格な規制のもとで再構築されてきた。国内取引所はコールドウォレット管理や内部統制の強化を義務付けられており、今回のようなDeFiプロトコルへの直接的な規制は及んでいない。
しかし問題はそこにある。国内規制の枠外にあるDeFiプロトコルを日本の個人投資家や機関投資家が利用している場合、今回の被害は「自己責任」の範囲内に収まってしまう。金融庁がDeFiをどう位置付けるかは、依然として明確な答えが出ていない領域だ。
また、量子コンピュータ開発においては、富士通やNEC、理化学研究所が国産量子コンピュータの開発を進めている。量子耐性暗号への移行は、単なる暗号資産の問題ではなく、金融インフラ全体のアップグレードを意味する。日本の金融機関がこの移行にどう備えるかは、今後数年の重要な課題となるだろう。
本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。
関連記事
トランプ大統領のイラン停戦延長とStrategyの2,540億円規模のビットコイン大量購入が重なり、BTCが78,000ドルを突破。日本機関投資家の65%がBTC保有という調査結果も注目。
イランとパキスタンの停戦交渉進展を受け、ビットコインが75,000ドルを回復。しかしマイナーの記録的売却と46日連続のネガティブ資金調達率が示す構造的な弱さとは何か。
2週間余りで500億円超が流出。北朝鮮系ハッカー集団ラザルスによるDriftとKelpへの連続攻撃が示すのは、もはや「一回限りのハック」ではなく、国家が主導する持続的なサイバー作戦の存在だ。DeFiの構造的脆弱性と日本市場への示唆を読み解く。
KelpDAOへの292億円規模のブリッジ攻撃を発端に、DeFi全体のTVLが48時間で約1.3兆円急減。Aaveだけで8,450億円の預金が流出。クロスチェーン基盤の脆弱性と分散型金融の相互依存リスクを解説します。
トランプ大統領のイラン停戦延長とStrategyの2,540億円規模のビットコイン大量購入が重なり、BTCが78,000ドルを突破。日本機関投資家の65%がBTC保有という調査結果も注目。
イランとパキスタンの停戦交渉進展を受け、ビットコインが75,000ドルを回復。しかしマイナーの記録的売却と46日連続のネガティブ資金調達率が示す構造的な弱さとは何か。
2週間余りで500億円超が流出。北朝鮮系ハッカー集団ラザルスによるDriftとKelpへの連続攻撃が示すのは、もはや「一回限りのハック」ではなく、国家が主導する持続的なサイバー作戦の存在だ。DeFiの構造的脆弱性と日本市場への示唆を読み解く。
KelpDAOへの292億円規模のブリッジ攻撃を発端に、DeFi全体のTVLが48時間で約1.3兆円急減。Aaveだけで8,450億円の預金が流出。クロスチェーン基盤の脆弱性と分散型金融の相互依存リスクを解説します。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加