**コアポイント:**KelpDAOの2.9億ドルのブリッジ脆弱性が連鎖反応を引き起こし、5つのチェーン上で合計67億ドルを超えるWETH流動性を凍結し、未接触のrsETHユーザーにも波及した。この事件はまた、「permissionless」システムの実際の境界を明らかにした:Arbitrumセキュリティカウンシルはガバナンスによる原子化コントラクトのアップグレードを通じて強制的な状態遷移を実行し、所有者の署名なしに30,766 ETHを移転した。2026年4月18日、KelpDAOのrsETHクロスチェーンブリッジが攻撃を受け、約2.9億ドルの損失を出し、今年最大のDeFiセキュリティ事件となった。初期の追跡は、長期にわたり暗号インフラを標的とする国家レベルの攻撃組織であるLazarus Groupに向かっている[1]。この攻撃はスマートコントラクトの脆弱性を突いたものではなく、投毒された単一の分散型検証ネットワーク(DVN)ノードのRPCインフラを通じて、偽造されたクロスチェーンメッセージを源チェーンに送信し、対応する源チェーンでの破棄が行われていない状態でrsETHトークンを解放した。LayerZero [1] とKelpDAO [2]は攻撃の詳細について既に説明している。本稿では別の視点からアプローチし:攻撃の過程を繰り返すのではなく、攻撃後に何が起きたのかを検証する。単一点依存のインフラがどのようにして数十億ドルの流動性凍結の連鎖を引き起こし、その連鎖がどのようにして分散型ガバナンスの枠組みを圧迫し、緊急の中心化権限を行使させたのかを考察する。KelpDAO事件の因果関係は、「分散化」技術スタックの3つの層を貫いている:単一点DVN依存が攻撃を可能にし;DeFiの合成性(いわゆる「DeFiレゴ」、プロトコル間が積み木のように連結される特性)がこのブリッジ脆弱性をシステム的な流動性危機に進化させ;そして、その危機の規模が逆にガバナンスの中心化緊急権限を露呈させた。背景:KelpDAO攻撃の概要---------------KelpDAOはrsETHの発行者である。rsETHは流動性再担保トークン(LRT)であり、複数の運用者に分散されたETHステーキングポジションを代表する。rsETHのクロスチェーン流通を実現するために、KelpDAOはLayerZeroのメッセージプロトコルを統合している。このプロトコルは、DVN(分散型検証ネットワーク)に依存し、ターゲットチェーン上でクロスメッセージの合法性を事前に確認する。重要な設定選択:KelpDAOのrsETH OAppは1対1のDVN構成を採用し、LayerZero Labsが運営するDVNのみを唯一の検証者とした。これにより、rsETHのクロスチェーン安全性は単一の検証主体に依存していることになる。LayerZeroの統合ドキュメントは、冗長性のある複数DVN構成を推奨しており、LayerZeroは事件前にこのベストプラクティスをKelpDAOに伝えていた[1]。KelpDAOはこれに対し、1/1構成は「LayerZeroドキュメントに記載され、新規OFT展開のデフォルト設定として公開されたものであり」「L2拡張の過程で適切な構成として明示的に認められた」と応答している[2]。攻撃者はLayerZero LabsのDVNが使用する2つのRPCノードに侵入し、そのバイナリを悪意のあるバージョンに置き換えた。これらの悪意のあるノードは、DVNのIPアドレスに対してのみ偽のチェーン状態データを返し、他の観測者(LayerZeroの監視インフラを含む)には正常に見える。同時に、侵入されていないRPCノードに対するDDoS攻撃がシステムの故障を引き起こし、毒されたノードにフェイルオーバーした。結果、源チェーン上で一度も発生していないクロスチェーンメッセージが確認され、対応する源チェーンの破棄が行われていない状態で、イーサリアム側のアダプター(0x85d4...8ef3)から116,500枚のrsETHが解放された[1, 3]。解放トランザクションは0x1ae232...db4222。チェーン上の証拠は明白で、イーサリアムのターゲットエンドポイントはnonce 308を受け入れ、Unichainのソースエンドポイントは最大出力nonceが依然として307であることを示している[10]。KelpDAOは46分以内に異常を検知し、関連コントラクトをすべて停止した。この措置により、約9500万ドル相当の40,000枚のrsETHに対する追加攻撃を防いだ[2]。しかしこの時点で、攻撃者は次の段階に進んでいた:DeFiの借入プロトコルを通じて盗まれたrsETHを借入資産に変換していた。偽造トークンから借入資産へ----------攻撃者は盗まれたrsETHを直接売却しなかった。116,500枚のトークンは7つのウォレットに分散され、多様なチャネルを通じて換金された。具体的には、アグリゲーターを通じて直接ETHに交換、Compound V3の供給ポジションに預け、クロスブリッジを経由してArbitrumへ送金した[10]。しかし最も影響の大きかったのはAaveを経由したケースである:攻撃者は89,567枚のrsETH(約2.21億ドル相当)をEthereum CoreとArbitrumの2つのAave借入市場に預け入れた。AaveのE-Mode(関連資産のより高い貸出比率を可能にする資金効率機能)を利用し、攻撃者は預け入れたrsETHを担保に82,620 WETHと821 wstETHを借り出した[3]。これらのポジションはレバレッジを極限まで高めている。攻撃者の7つのアドレスのヘルスファクターは1.01〜1.03の範囲であり、清算閾値をわずかに上回る程度だ[3]。これは、AaveのE-ModeがrsETHに対して93%のLTVを設定し、清算閾値が95%であるため、安全バッファはわずか2ポイントに過ぎないためだ。各アドレスの2つの市場における詳細は以下の通り:表1:攻撃者のAave2市場におけるrsETH供給とWETH/wstETH借出の詳細データ出典:オンチェーンデータ集計、Etherscan、Arbiscan、DeBankより。USD価値は各取引時点のトークン価格を反映。連鎖効果:ブリッジ脆弱性が5つのチェーンのWETHを凍結させる仕組み--------------------------以下の図は、完全な連鎖の流れを概観している。ステップ1と2(ブリッジ脆弱性とAaveへの担保預入)は前述の背景部分で説明済み。本節ではステップ3〜5に深く入り込み:なぜWETHを凍結しなければならないのか、どのパラメータが連鎖の深刻さを形成しているのか、そして凍結の実際のコストは何かを分析する。図1:ブリッジ脆弱性から5つのチェーン上のWETH凍結までの連鎖フローなぜWETHを凍結しなければならないのか--------------4月19日、AaveのProtocol Guardianは、Aave V3とV4のすべてのrsETHとwrsETH市場を凍結し、新たな預入と借入を禁止した[8]。これは予想された最初の対応だった。しかし、意外な第二の動きが4月20日に起きた:Ethereum、Arbitrum、Base、Mantle、Linea上のWETHリザーブを凍結したのである[3, 8]。なぜWETHを凍結する必要があるのか?これは攻撃を受けていない資産であり、クロスチェーンブリッジとは無関係だ。攻撃者が預入したrsETHは、源チェーンの資産と対応せずに発行されたものであるためだ。Aaveのオラクルはこれらのトークンに対し、市場価格に基づいて評価を続けており、正規のブリッジされたrsETHと区別できない有効な担保とみなしている。攻撃者はこの情報の非対称性を利用し、システムレベルで無担保負債の担保としてWETHを借り出した。これにより、借入プールのWETHが枯渇し、利用率は100%に達した。利用率が満杯の状態では、既存のWETH預入者は引き出しできず、清算者も清算に必要な資産を得られなくなる。清算メカニズムは、バッドデットに対する防御の核心だが、実質的に麻痺してしまった[3]。もしWETHの借入が継続されると、他のチェーン上の流動性プールも同じ仕組みで枯渇する可能性がある:rsETHを預けてWETHを借り、退出する。WETHの凍結は選択肢ではなく、被害を抑える唯一の手段だ。連鎖を形成する3つのパラメータ------------------この連鎖の深刻さは偶然ではない。3つのプロトコルパラメータが、直接的な被害の規模と、そこから生じる凍結の範囲を決定している。### 1. LTV:汚染された担保品1単位あたりの健全資産の引き出し可能額AaveのE-ModeはrsETHに対し93%のLTVを設定しており、汚染されたrsETH1ドルの預入ごとに0.93ドルのWETHを借りられることを意味する。比較として、同時期のSpark ProtocolのrsETH LTVは72%、Fluidは約75%[3]。Aaveの設定は最も攻撃的だ。これは慎重に設計された決定であり、過失ではない。2026年1月、AaveのガバナンスはrsETHのE-Mode LTVを92.5%から93%に引き上げ、すでに薄い安全バッファをさらに圧縮し、2.5%から2%に縮めた[3]。基本(非E-Mode)のLTVは意図的にほぼゼロ(0.05%)に設定されており、実質的にすべての有意義なrsETH借入は高LTVのE-Mode経由に限定されている。### 2. プールの深さ:各市場の流動性引き出しに対する脆弱性同じ金額の借入でも、ターゲットプールの深さによって影響は大きく異なる。表2:各チェーンのAave V3 WETHリザーブ規模と攻撃者の直接引き出し比率攻撃者はAave V3のrsETH預入のみ。Aave V4(Ethereumにのみ展開、2026年3月にローンチ)は、予防的なrsETH凍結の対象となっている[8]。WETHリザーブのデータはLlamaRiskから取得;攻撃者の借入データは上記のアドレス詳細表から。攻撃者はEthereum CoreとArbitrumで借入操作を集中させている。しかし、重要なのは、攻撃者が触れていない他のチェーンで何が起きているかだ。rsETHがMantle、Base、Lineaで担保として受け入れられているため、これらのチェーンの既存ユーザーポジションは、基盤のブリッジ支援が破壊されると潜在的な不良債権リスクに直面する。Aaveがこれら5つのチェーンすべてでWETHの予防凍結を決定したのは合理的な対応だ:これらの市場を開いたままにしておくと、EthereumやArbitrumで検証されたのと同じ引き出しメカニズムに曝されることになる[3, 8]。[3] 3. クロスチェーン展開数:凍結拡散の範囲rsETHは、Aave V3の23市場のうち11市場で担保として登録されており、そのうち7つは実質的なエクスポージャーを持つ###。攻撃者は2つのチェーンのみで操作したが、予防的なWETH凍結は少なくとも5つのチェーンに波及し、攻撃者が預入していない市場も含む。LTVは各チェーンの引き出し量を決定し、プールの深さは各市場の衝撃度を左右する。しかし、最終的に凍結の範囲を決めるのは、rsETHがいくつのリンクで担保として受け入れられているかだ。これらのパラメータは静的ではない。攻撃の9日前、4月9日にAaveのリスク管理者はrsETHの供給上限を引き上げた:Ethereum Coreは480,000から530,000に、Mantleは52,000から70,000に[3]。これは因果関係を示すものではない(攻撃者の準備期間はこれらの調整よりも早い可能性が高い)が、通常のパラメータ調整が将来のイベントの影響範囲を無意識に拡大させることを示している。凍結の実際の影響-------結果として、2.9億ドルのブリッジ脆弱性により、5つのチェーン上のWETH流動性が凍結され、影響を受けた市場の合計預金は67億ドルを超えた。直接的な損失は攻撃者の借入額に限定されるが、DeFiの借入において凍結は軽微な運用停止ではない。これはユーザの流動性をロックし、引き出しを妨害し、アクティブなポジションを乱し、バッドデットに対する清算メカニズムを弱体化させる。大多数の影響を受けたユーザはrsETHやKelpDAO、クロスチェーンブリッジに一度も触れていない。彼らはAaveのWETH預入者・借入者であり、直接的に理解している借入市場に参加している。WETHはDeFiの最も基本的な流動性資産だ。これを凍結することは、最大の銀行の引き出し口を閉じることに等しい。理由は、別の金融機関がほとんどの預金者が知らない商品を使って詐欺を働いたからだ。LlamaRiskの事件レポート [3]は、チェーンごとのショートフォール予測を示す2つのバッドデットシナリオモデルを構築しており、現時点で最も詳細なリスク伝播分析を提供している。しかし、その分析も潜在的な不良債権に焦点を当てており、凍結による運用コストの広範な影響(引き出しロック、ポジションの阻害、すべての影響市場の清算能力の低下)には触れていない。連鎖の全体的な影響の定量化は未解決の課題だ。攻撃の連鎖は複雑であると同時に、復旧も容易ではない。合成性は破壊を制約する一方、修復も制約する。Aaveは「すべて解凍」できない。各市場は個別に評価され、ローカルのrsETHエクスポージャ、WETHの利用率、攻撃者の活動状況に応じてリスクを判断しなければならない。時間軸は明確に示している:4月19日:Protocol Guardianは、Aave V3とV4のすべてのrsETHとwrsETHリザーブを凍結[3]。4月20日:Ethereum、Arbitrum、Base、Mantle、Linea上のWETHが凍結された[8]。4月21日:Ethereum Core V3のWETHのみが解凍され、LTVは予防措置として0に設定された。Ethereum Prime、Arbitrum、Base、Mantle、LineaのWETHは依然凍結状態だ[8]。攻撃から4日後、6つの影響を受けた市場のうち唯一解凍されたのは1つだけだった。復旧の道筋は攻撃と同じく複雑で、段階的に進められる:各プロトコルごと、各チェーンごとに逐次進行し、すべてのステップでガバナンスの調整とリスク評価が必要となる。緊急対応:Arbitrumは署名なしで30,766 ETHを移動させた仕組み------------------------------------------Aaveの借入連鎖の対応と並行して、Arbitrumでも平行の対応が進行している。4月21日、Arbitrumセキュリティカウンシルは、攻撃者がArbitrum One上に保有していた30,766 ETHを凍結したと発表した[6]。これらの資金は中間の凍結アドレス(0x...0DA0)に移され、その後のArbitrumガバナンス投票によって処理される。[7] ガバナンス行動Arbitrum Security Councilは、Arbitrum DAOの正式な構成要素であり、外部主体や臨時委員会ではない。今回の緊急措置は、Arbitrumガバナンスフォーラムで公開され、攻撃者の特定後に実行された###。完全な取引詳細も公開されており、誰でも検証可能だ。Security Councilは、その権限範囲内で行動し、「Arbitrumコミュニティの安全性と完全性へのコミットメントを示しつつ、いかなるArbitrumユーザやアプリケーションにも影響を与えない」としている[7]。この決定は密室のものではなく、ガバナンスによる正式な権限行使であり、公開・透明に実行されている。チェーン上の証拠も明白だ。[6] 技術的仕組みこの行動の注目点は、ガバナンス決定そのものではなく、そのチェーン上の実行方法にある。BlockSecのPhalcon trace分析 [6]によると、Security Councilは以下の3段階の原子化操作を採用した。アップグレードエグゼキュータは、一時的にイーサリアムのinboxコントラクト(DelayedInbox)をアップグレードし、新たにsendUnsignedTransactionOverrideという関数を追加した。この関数は、攻撃者のアドレスを偽装したクロスメッセージの作成に用いられた。メッセージはBridge.enqueueDelayedMessageに注入され、kind=3はArbitrum NitroのL1MessageType_L2Messageに対応。このメッセージタイプは、L2上でL2MessageKind_UnsignedUserTxを実行可能にする。重要なのは、この経路には署名検証が不要な点だ。senderパラメータは標準のmsg.senderから、呼び出し者が制御する入力に切り替わり、L1→L2のアドレス別名変換を通じて攻撃者のアドレスコンテキストを持ち込む。L2上での送金完了後、inboxコントラクトは元の実装に復元される。L1トランザクション ### とそれに伴うL2トランザクション [9] は、Phalcon Explorer上で公開されている。L2トランザクションは「攻撃者から0x...0DA0へ」と表示されるが、これは標準的な署名付き送金ではなく、チェーンレベルの強制状態遷移だ。ガバナンスレベルのインフラアップグレードにより、資産所有者の秘密鍵を使わずに資産を移動させる仕組みだ。[4] 分散化のジレンマこの仕組みの根底にあるのは非常にシンプルな原理:アップグレーダブルコントラクトは無限の能力を持つ。コントラクトがアップグレード可能であれば、その挙動は任意に変更できる。つまり、所有者の署名なしに資産を移動させることも可能だ。これは、アップグレーダブルコントラクトを基盤とするシステムの固有の能力である。30,766 ETHは現在、凍結アドレスに預けられている。今後のArbitrumガバナンス投票によって処理方法が決定される。原子化されたアップグレード・実行・復元のパターンは、inboxコントラクトに永続的な変更を加えず、他のユーザやアプリに影響を与えない。合理的な評価の多くは、Arbitrum Security Councilの行動は正しかったと示す。攻撃者は国家レベルの行為者と特定され、法執行機関も関与し、ガバナンスは公開・透明であり、1,710万ドルの盗難資産は回収または少なくともマネーロンダリングの阻止に成功した。しかし、この能力の適用範囲はこのケースにとどまらない。同じアップグレード・実行・復元の仕組みは、原則としてArbitrum One上の任意のアドレスの資産を移動できる。Security Councilの権限は、攻撃者のアドレスや盗難資金に限定されず、ガバナンスの規範に従う普遍的な能力だ。これが抱えるジレンマだ。ユーザはL2とやり取りする際、「自分の資産は自分の秘密鍵で管理されている。署名がなければ誰も資産を移動できない」という心理モデルを持つ。しかし、KelpDAO事件の緊急対応は、このモデルが不完全であることを示した。Arbitrumや他のアップグレード可能なブリッジコントラクトとSecurity Councilを持つL2では、署名検証を完全に回避したガバナンスレベルの行動によって資産が移動され得る。Arbitrumは例外ではない。Aaveの市場凍結も、ガバナンス駆動の緊急措置だ。KelpDAO事件では、複数のプロトコルが中心化された緊急権限を行使した:Aaveは5つのチェーンの市場を凍結し、Arbitrumセキュリティカウンシルは強制的に資金を移動し、KelpDAOは全体のコントラクトを一時停止した。これらの対応は効果的で透明であり、必要なものであったと同時に、「permissionless」存在の実際の境界を明示した証拠でもある。問題は、緊急権限の存在自体ではなく、その境界、発動条件、責任追及の仕組みが十分に透明かどうかだ。L2に資産を預けるユーザは、次の基本的な問いに答えられるべきだ:「私の資産は私の秘密鍵で管理されているが、どの条件下でSecurity Councilは私の資産を移動できるのか?私には何の追及権があるのか?」盗難資金の現状------独立したチェーン上の追跡(MetaSleuth [5]による完全可視化)によると、攻撃者は116,500 rsETHを7つの一次アドレスに分散させ、その大部分をAave(Ethereum CoreとArbitrum)に預けてWETHとwstETHを担保に借り出し、少量のDEXを通じて交換し、2つのチェーンの同一アドレス(0x5d39...7ccc)に集約している。2026年4月22日05:42 UTC時点で、盗難資金は以下の4つの状態に分かれている。表3:盗難資金の4つの状態分布(2026年4月22日05:42 UTC)約31%は凍結または阻止されており、23%はEthereumの未動のアドレスに留まっている。46%はすでにまたは現在分散中で、103の一次下流アドレスに移されている。攻撃者はAaveのrsETH担保を未だ引き出しておらず、借りたWETHとwstETHも返済されていない。借入ポジションは放棄された状態だ。KelpDAO事件の因果関係は、「分散化」技術スタックの3層を貫いている。出発点は単一点依存だ。KelpDAOの1-of-1 DVN構成は、クロスチェーン検証を単一の主体に縮小し、橋全体を侵害可能にしている。構造は分散化を支持しているが、設定はそうなっていない。合成性は次に、ブリッジ脆弱性をシステム的流動性危機に進化させた。攻撃はDeFiの最も基本的な資産であるWETHを凍結させ、5つのチェーンに波及し、数十億ドルの流動性を巻き込み、rsETHやKelpDAOと無関係なユーザも巻き込んだ。連鎖の範囲は、攻撃者のLTV設定、浅いプール、広範なクロスチェーン担保展開といったパラメータによって形成されている。危機の規模は、分散型ガバナンスが中心化された緊急権限を行使する必要性を高めた。Arbitrumセキュリティカウンシルはガバナンスによるコントラクトのアップグレードを通じて資金を移動し、Aaveは複数のチェーンで市場を凍結し、KelpDAOは全体を一時停止した。これらの対応は効果的で透明であり、必要なものであったと同時に、「permissionless」存在の実際の境界を示す証拠でもある。単一点依存は攻撃を可能にし、合成性は損害を拡大し、損害は中心化権限の存在を明らかにした。これらの問題に対処するには、関係者全員の協力が必要だ。- プロトコル側:全体の安全性は最も脆弱な部分に依存している。今回の事件ではDVNインフラが短所であり、コードの安全性だけでなくインフラの安全性、鍵管理、運用安全も重要だ。包括的なセキュリティ評価とペネトレーションテストにより、技術スタック全体をストレステストすべきだ。オンチェーン監視は、数分以内に緊急対応をトリガーできるようにし、クロスチェーン資金追跡は資産凍結と回収の最大化に不可欠だ。特に借入プロトコルでは、クロスチェーン合成資産の担保は、「担保品が完全に陥落した」シナリオを想定し、前述の3つのパラメータ(LTV、プール深さ、クロス展開数)を用いたストレステストを行う必要がある。- L2ガバナンスとDAO:緊急権限は透明かつ責任追及可能であるべきだ。多くの主要L2はこの能力を持つが、技術ドキュメントに埋もれ、ユーザ向け資料には明示されていないことが多い。ガバナンスの仕組みは、発動条件、範囲、時間制約、事後の責任追及を明文化すべきだ。- ユーザ側:DeFiの合成性に内在するシステムリスクを理解すべきだ。今回の事件では、rsETHに一度も触れていないWETH預入者が5つのチェーンで流動性を凍結された。単一ポジションのリスクだけでなく、あなたの資産が関わるプロトコル、プール、担保タイプ、チェーンの相互関係もリスクの一部である。
KelpDAO 危機における連鎖リスクと緊急対応権
**コアポイント:**KelpDAOの2.9億ドルのブリッジ脆弱性が連鎖反応を引き起こし、5つのチェーン上で合計67億ドルを超えるWETH流動性を凍結し、未接触のrsETHユーザーにも波及した。この事件はまた、「permissionless」システムの実際の境界を明らかにした:Arbitrumセキュリティカウンシルはガバナンスによる原子化コントラクトのアップグレードを通じて強制的な状態遷移を実行し、所有者の署名なしに30,766 ETHを移転した。
2026年4月18日、KelpDAOのrsETHクロスチェーンブリッジが攻撃を受け、約2.9億ドルの損失を出し、今年最大のDeFiセキュリティ事件となった。初期の追跡は、長期にわたり暗号インフラを標的とする国家レベルの攻撃組織であるLazarus Groupに向かっている[1]。この攻撃はスマートコントラクトの脆弱性を突いたものではなく、投毒された単一の分散型検証ネットワーク(DVN)ノードのRPCインフラを通じて、偽造されたクロスチェーンメッセージを源チェーンに送信し、対応する源チェーンでの破棄が行われていない状態でrsETHトークンを解放した。
LayerZero [1] とKelpDAO [2]は攻撃の詳細について既に説明している。本稿では別の視点からアプローチし:攻撃の過程を繰り返すのではなく、攻撃後に何が起きたのかを検証する。単一点依存のインフラがどのようにして数十億ドルの流動性凍結の連鎖を引き起こし、その連鎖がどのようにして分散型ガバナンスの枠組みを圧迫し、緊急の中心化権限を行使させたのかを考察する。
KelpDAO事件の因果関係は、「分散化」技術スタックの3つの層を貫いている:単一点DVN依存が攻撃を可能にし;DeFiの合成性(いわゆる「DeFiレゴ」、プロトコル間が積み木のように連結される特性)がこのブリッジ脆弱性をシステム的な流動性危機に進化させ;そして、その危機の規模が逆にガバナンスの中心化緊急権限を露呈させた。
背景:KelpDAO攻撃の概要
KelpDAOはrsETHの発行者である。rsETHは流動性再担保トークン(LRT)であり、複数の運用者に分散されたETHステーキングポジションを代表する。rsETHのクロスチェーン流通を実現するために、KelpDAOはLayerZeroのメッセージプロトコルを統合している。このプロトコルは、DVN(分散型検証ネットワーク)に依存し、ターゲットチェーン上でクロスメッセージの合法性を事前に確認する。
重要な設定選択:KelpDAOのrsETH OAppは1対1のDVN構成を採用し、LayerZero Labsが運営するDVNのみを唯一の検証者とした。これにより、rsETHのクロスチェーン安全性は単一の検証主体に依存していることになる。LayerZeroの統合ドキュメントは、冗長性のある複数DVN構成を推奨しており、LayerZeroは事件前にこのベストプラクティスをKelpDAOに伝えていた[1]。KelpDAOはこれに対し、1/1構成は「LayerZeroドキュメントに記載され、新規OFT展開のデフォルト設定として公開されたものであり」「L2拡張の過程で適切な構成として明示的に認められた」と応答している[2]。
攻撃者はLayerZero LabsのDVNが使用する2つのRPCノードに侵入し、そのバイナリを悪意のあるバージョンに置き換えた。これらの悪意のあるノードは、DVNのIPアドレスに対してのみ偽のチェーン状態データを返し、他の観測者(LayerZeroの監視インフラを含む)には正常に見える。同時に、侵入されていないRPCノードに対するDDoS攻撃がシステムの故障を引き起こし、毒されたノードにフェイルオーバーした。結果、源チェーン上で一度も発生していないクロスチェーンメッセージが確認され、対応する源チェーンの破棄が行われていない状態で、イーサリアム側のアダプター(0x85d4…8ef3)から116,500枚のrsETHが解放された[1, 3]。解放トランザクションは0x1ae232…db4222。チェーン上の証拠は明白で、イーサリアムのターゲットエンドポイントはnonce 308を受け入れ、Unichainのソースエンドポイントは最大出力nonceが依然として307であることを示している[10]。
KelpDAOは46分以内に異常を検知し、関連コントラクトをすべて停止した。この措置により、約9500万ドル相当の40,000枚のrsETHに対する追加攻撃を防いだ[2]。しかしこの時点で、攻撃者は次の段階に進んでいた:DeFiの借入プロトコルを通じて盗まれたrsETHを借入資産に変換していた。
偽造トークンから借入資産へ
攻撃者は盗まれたrsETHを直接売却しなかった。116,500枚のトークンは7つのウォレットに分散され、多様なチャネルを通じて換金された。具体的には、アグリゲーターを通じて直接ETHに交換、Compound V3の供給ポジションに預け、クロスブリッジを経由してArbitrumへ送金した[10]。しかし最も影響の大きかったのはAaveを経由したケースである:攻撃者は89,567枚のrsETH(約2.21億ドル相当)をEthereum CoreとArbitrumの2つのAave借入市場に預け入れた。AaveのE-Mode(関連資産のより高い貸出比率を可能にする資金効率機能)を利用し、攻撃者は預け入れたrsETHを担保に82,620 WETHと821 wstETHを借り出した[3]。
これらのポジションはレバレッジを極限まで高めている。攻撃者の7つのアドレスのヘルスファクターは1.01〜1.03の範囲であり、清算閾値をわずかに上回る程度だ[3]。これは、AaveのE-ModeがrsETHに対して93%のLTVを設定し、清算閾値が95%であるため、安全バッファはわずか2ポイントに過ぎないためだ。
各アドレスの2つの市場における詳細は以下の通り:
表1:攻撃者のAave2市場におけるrsETH供給とWETH/wstETH借出の詳細
データ出典:オンチェーンデータ集計、Etherscan、Arbiscan、DeBankより。USD価値は各取引時点のトークン価格を反映。
連鎖効果:ブリッジ脆弱性が5つのチェーンのWETHを凍結させる仕組み
以下の図は、完全な連鎖の流れを概観している。ステップ1と2(ブリッジ脆弱性とAaveへの担保預入)は前述の背景部分で説明済み。本節ではステップ3〜5に深く入り込み:なぜWETHを凍結しなければならないのか、どのパラメータが連鎖の深刻さを形成しているのか、そして凍結の実際のコストは何かを分析する。
図1:ブリッジ脆弱性から5つのチェーン上のWETH凍結までの連鎖フロー
なぜWETHを凍結しなければならないのか
4月19日、AaveのProtocol Guardianは、Aave V3とV4のすべてのrsETHとwrsETH市場を凍結し、新たな預入と借入を禁止した[8]。これは予想された最初の対応だった。
しかし、意外な第二の動きが4月20日に起きた:Ethereum、Arbitrum、Base、Mantle、Linea上のWETHリザーブを凍結したのである[3, 8]。
なぜWETHを凍結する必要があるのか?これは攻撃を受けていない資産であり、クロスチェーンブリッジとは無関係だ。攻撃者が預入したrsETHは、源チェーンの資産と対応せずに発行されたものであるためだ。Aaveのオラクルはこれらのトークンに対し、市場価格に基づいて評価を続けており、正規のブリッジされたrsETHと区別できない有効な担保とみなしている。攻撃者はこの情報の非対称性を利用し、システムレベルで無担保負債の担保としてWETHを借り出した。これにより、借入プールのWETHが枯渇し、利用率は100%に達した。利用率が満杯の状態では、既存のWETH預入者は引き出しできず、清算者も清算に必要な資産を得られなくなる。清算メカニズムは、バッドデットに対する防御の核心だが、実質的に麻痺してしまった[3]。
もしWETHの借入が継続されると、他のチェーン上の流動性プールも同じ仕組みで枯渇する可能性がある:rsETHを預けてWETHを借り、退出する。WETHの凍結は選択肢ではなく、被害を抑える唯一の手段だ。
連鎖を形成する3つのパラメータ
この連鎖の深刻さは偶然ではない。3つのプロトコルパラメータが、直接的な被害の規模と、そこから生じる凍結の範囲を決定している。
1. LTV:汚染された担保品1単位あたりの健全資産の引き出し可能額
AaveのE-ModeはrsETHに対し93%のLTVを設定しており、汚染されたrsETH1ドルの預入ごとに0.93ドルのWETHを借りられることを意味する。比較として、同時期のSpark ProtocolのrsETH LTVは72%、Fluidは約75%[3]。Aaveの設定は最も攻撃的だ。
これは慎重に設計された決定であり、過失ではない。2026年1月、AaveのガバナンスはrsETHのE-Mode LTVを92.5%から93%に引き上げ、すでに薄い安全バッファをさらに圧縮し、2.5%から2%に縮めた[3]。基本(非E-Mode)のLTVは意図的にほぼゼロ(0.05%)に設定されており、実質的にすべての有意義なrsETH借入は高LTVのE-Mode経由に限定されている。
2. プールの深さ:各市場の流動性引き出しに対する脆弱性
同じ金額の借入でも、ターゲットプールの深さによって影響は大きく異なる。
表2:各チェーンのAave V3 WETHリザーブ規模と攻撃者の直接引き出し比率
攻撃者はAave V3のrsETH預入のみ。Aave V4(Ethereumにのみ展開、2026年3月にローンチ)は、予防的なrsETH凍結の対象となっている[8]。WETHリザーブのデータはLlamaRiskから取得;攻撃者の借入データは上記のアドレス詳細表から。
攻撃者はEthereum CoreとArbitrumで借入操作を集中させている。しかし、重要なのは、攻撃者が触れていない他のチェーンで何が起きているかだ。rsETHがMantle、Base、Lineaで担保として受け入れられているため、これらのチェーンの既存ユーザーポジションは、基盤のブリッジ支援が破壊されると潜在的な不良債権リスクに直面する。Aaveがこれら5つのチェーンすべてでWETHの予防凍結を決定したのは合理的な対応だ:これらの市場を開いたままにしておくと、EthereumやArbitrumで検証されたのと同じ引き出しメカニズムに曝されることになる[3, 8]。
[3] 3. クロスチェーン展開数:凍結拡散の範囲
rsETHは、Aave V3の23市場のうち11市場で担保として登録されており、そのうち7つは実質的なエクスポージャーを持つ###。攻撃者は2つのチェーンのみで操作したが、予防的なWETH凍結は少なくとも5つのチェーンに波及し、攻撃者が預入していない市場も含む。LTVは各チェーンの引き出し量を決定し、プールの深さは各市場の衝撃度を左右する。しかし、最終的に凍結の範囲を決めるのは、rsETHがいくつのリンクで担保として受け入れられているかだ。
これらのパラメータは静的ではない。攻撃の9日前、4月9日にAaveのリスク管理者はrsETHの供給上限を引き上げた:Ethereum Coreは480,000から530,000に、Mantleは52,000から70,000に[3]。これは因果関係を示すものではない(攻撃者の準備期間はこれらの調整よりも早い可能性が高い)が、通常のパラメータ調整が将来のイベントの影響範囲を無意識に拡大させることを示している。
凍結の実際の影響
結果として、2.9億ドルのブリッジ脆弱性により、5つのチェーン上のWETH流動性が凍結され、影響を受けた市場の合計預金は67億ドルを超えた。
直接的な損失は攻撃者の借入額に限定されるが、DeFiの借入において凍結は軽微な運用停止ではない。これはユーザの流動性をロックし、引き出しを妨害し、アクティブなポジションを乱し、バッドデットに対する清算メカニズムを弱体化させる。大多数の影響を受けたユーザはrsETHやKelpDAO、クロスチェーンブリッジに一度も触れていない。彼らはAaveのWETH預入者・借入者であり、直接的に理解している借入市場に参加している。
WETHはDeFiの最も基本的な流動性資産だ。これを凍結することは、最大の銀行の引き出し口を閉じることに等しい。理由は、別の金融機関がほとんどの預金者が知らない商品を使って詐欺を働いたからだ。
LlamaRiskの事件レポート [3]は、チェーンごとのショートフォール予測を示す2つのバッドデットシナリオモデルを構築しており、現時点で最も詳細なリスク伝播分析を提供している。しかし、その分析も潜在的な不良債権に焦点を当てており、凍結による運用コストの広範な影響(引き出しロック、ポジションの阻害、すべての影響市場の清算能力の低下)には触れていない。連鎖の全体的な影響の定量化は未解決の課題だ。
攻撃の連鎖は複雑であると同時に、復旧も容易ではない。合成性は破壊を制約する一方、修復も制約する。Aaveは「すべて解凍」できない。各市場は個別に評価され、ローカルのrsETHエクスポージャ、WETHの利用率、攻撃者の活動状況に応じてリスクを判断しなければならない。時間軸は明確に示している:
4月19日:Protocol Guardianは、Aave V3とV4のすべてのrsETHとwrsETHリザーブを凍結[3]。
4月20日:Ethereum、Arbitrum、Base、Mantle、Linea上のWETHが凍結された[8]。
4月21日:Ethereum Core V3のWETHのみが解凍され、LTVは予防措置として0に設定された。Ethereum Prime、Arbitrum、Base、Mantle、LineaのWETHは依然凍結状態だ[8]。
攻撃から4日後、6つの影響を受けた市場のうち唯一解凍されたのは1つだけだった。復旧の道筋は攻撃と同じく複雑で、段階的に進められる:各プロトコルごと、各チェーンごとに逐次進行し、すべてのステップでガバナンスの調整とリスク評価が必要となる。
緊急対応:Arbitrumは署名なしで30,766 ETHを移動させた仕組み
Aaveの借入連鎖の対応と並行して、Arbitrumでも平行の対応が進行している。4月21日、Arbitrumセキュリティカウンシルは、攻撃者がArbitrum One上に保有していた30,766 ETHを凍結したと発表した[6]。これらの資金は中間の凍結アドレス(0x…0DA0)に移され、その後のArbitrumガバナンス投票によって処理される。
[7] ガバナンス行動
Arbitrum Security Councilは、Arbitrum DAOの正式な構成要素であり、外部主体や臨時委員会ではない。今回の緊急措置は、Arbitrumガバナンスフォーラムで公開され、攻撃者の特定後に実行された###。完全な取引詳細も公開されており、誰でも検証可能だ。Security Councilは、その権限範囲内で行動し、「Arbitrumコミュニティの安全性と完全性へのコミットメントを示しつつ、いかなるArbitrumユーザやアプリケーションにも影響を与えない」としている[7]。
この決定は密室のものではなく、ガバナンスによる正式な権限行使であり、公開・透明に実行されている。チェーン上の証拠も明白だ。
[6] 技術的仕組み
この行動の注目点は、ガバナンス決定そのものではなく、そのチェーン上の実行方法にある。BlockSecのPhalcon trace分析 [6]によると、Security Councilは以下の3段階の原子化操作を採用した。
アップグレードエグゼキュータは、一時的にイーサリアムのinboxコントラクト(DelayedInbox)をアップグレードし、新たにsendUnsignedTransactionOverrideという関数を追加した。
この関数は、攻撃者のアドレスを偽装したクロスメッセージの作成に用いられた。メッセージはBridge.enqueueDelayedMessageに注入され、kind=3はArbitrum NitroのL1MessageType_L2Messageに対応。このメッセージタイプは、L2上でL2MessageKind_UnsignedUserTxを実行可能にする。重要なのは、この経路には署名検証が不要な点だ。senderパラメータは標準のmsg.senderから、呼び出し者が制御する入力に切り替わり、L1→L2のアドレス別名変換を通じて攻撃者のアドレスコンテキストを持ち込む。
L2上での送金完了後、inboxコントラクトは元の実装に復元される。
L1トランザクション ### とそれに伴うL2トランザクション [9] は、Phalcon Explorer上で公開されている。L2トランザクションは「攻撃者から0x…0DA0へ」と表示されるが、これは標準的な署名付き送金ではなく、チェーンレベルの強制状態遷移だ。ガバナンスレベルのインフラアップグレードにより、資産所有者の秘密鍵を使わずに資産を移動させる仕組みだ。
[4] 分散化のジレンマ
この仕組みの根底にあるのは非常にシンプルな原理:アップグレーダブルコントラクトは無限の能力を持つ。コントラクトがアップグレード可能であれば、その挙動は任意に変更できる。つまり、所有者の署名なしに資産を移動させることも可能だ。これは、アップグレーダブルコントラクトを基盤とするシステムの固有の能力である。30,766 ETHは現在、凍結アドレスに預けられている。今後のArbitrumガバナンス投票によって処理方法が決定される。原子化されたアップグレード・実行・復元のパターンは、inboxコントラクトに永続的な変更を加えず、他のユーザやアプリに影響を与えない。
合理的な評価の多くは、Arbitrum Security Councilの行動は正しかったと示す。攻撃者は国家レベルの行為者と特定され、法執行機関も関与し、ガバナンスは公開・透明であり、1,710万ドルの盗難資産は回収または少なくともマネーロンダリングの阻止に成功した。
しかし、この能力の適用範囲はこのケースにとどまらない。同じアップグレード・実行・復元の仕組みは、原則としてArbitrum One上の任意のアドレスの資産を移動できる。Security Councilの権限は、攻撃者のアドレスや盗難資金に限定されず、ガバナンスの規範に従う普遍的な能力だ。
これが抱えるジレンマだ。ユーザはL2とやり取りする際、「自分の資産は自分の秘密鍵で管理されている。署名がなければ誰も資産を移動できない」という心理モデルを持つ。しかし、KelpDAO事件の緊急対応は、このモデルが不完全であることを示した。Arbitrumや他のアップグレード可能なブリッジコントラクトとSecurity Councilを持つL2では、署名検証を完全に回避したガバナンスレベルの行動によって資産が移動され得る。
Arbitrumは例外ではない。Aaveの市場凍結も、ガバナンス駆動の緊急措置だ。KelpDAO事件では、複数のプロトコルが中心化された緊急権限を行使した:Aaveは5つのチェーンの市場を凍結し、Arbitrumセキュリティカウンシルは強制的に資金を移動し、KelpDAOは全体のコントラクトを一時停止した。これらの対応は効果的で透明であり、必要なものであったと同時に、「permissionless」存在の実際の境界を明示した証拠でもある。
問題は、緊急権限の存在自体ではなく、その境界、発動条件、責任追及の仕組みが十分に透明かどうかだ。L2に資産を預けるユーザは、次の基本的な問いに答えられるべきだ:「私の資産は私の秘密鍵で管理されているが、どの条件下でSecurity Councilは私の資産を移動できるのか?私には何の追及権があるのか?」
盗難資金の現状
独立したチェーン上の追跡(MetaSleuth [5]による完全可視化)によると、攻撃者は116,500 rsETHを7つの一次アドレスに分散させ、その大部分をAave(Ethereum CoreとArbitrum)に預けてWETHとwstETHを担保に借り出し、少量のDEXを通じて交換し、2つのチェーンの同一アドレス(0x5d39…7ccc)に集約している。2026年4月22日05:42 UTC時点で、盗難資金は以下の4つの状態に分かれている。
表3:盗難資金の4つの状態分布(2026年4月22日05:42 UTC)
約31%は凍結または阻止されており、23%はEthereumの未動のアドレスに留まっている。46%はすでにまたは現在分散中で、103の一次下流アドレスに移されている。攻撃者はAaveのrsETH担保を未だ引き出しておらず、借りたWETHとwstETHも返済されていない。借入ポジションは放棄された状態だ。
KelpDAO事件の因果関係は、「分散化」技術スタックの3層を貫いている。
出発点は単一点依存だ。KelpDAOの1-of-1 DVN構成は、クロスチェーン検証を単一の主体に縮小し、橋全体を侵害可能にしている。構造は分散化を支持しているが、設定はそうなっていない。
合成性は次に、ブリッジ脆弱性をシステム的流動性危機に進化させた。攻撃はDeFiの最も基本的な資産であるWETHを凍結させ、5つのチェーンに波及し、数十億ドルの流動性を巻き込み、rsETHやKelpDAOと無関係なユーザも巻き込んだ。連鎖の範囲は、攻撃者のLTV設定、浅いプール、広範なクロスチェーン担保展開といったパラメータによって形成されている。
危機の規模は、分散型ガバナンスが中心化された緊急権限を行使する必要性を高めた。Arbitrumセキュリティカウンシルはガバナンスによるコントラクトのアップグレードを通じて資金を移動し、Aaveは複数のチェーンで市場を凍結し、KelpDAOは全体を一時停止した。これらの対応は効果的で透明であり、必要なものであったと同時に、「permissionless」存在の実際の境界を示す証拠でもある。
単一点依存は攻撃を可能にし、合成性は損害を拡大し、損害は中心化権限の存在を明らかにした。これらの問題に対処するには、関係者全員の協力が必要だ。
プロトコル側:全体の安全性は最も脆弱な部分に依存している。今回の事件ではDVNインフラが短所であり、コードの安全性だけでなくインフラの安全性、鍵管理、運用安全も重要だ。包括的なセキュリティ評価とペネトレーションテストにより、技術スタック全体をストレステストすべきだ。オンチェーン監視は、数分以内に緊急対応をトリガーできるようにし、クロスチェーン資金追跡は資産凍結と回収の最大化に不可欠だ。特に借入プロトコルでは、クロスチェーン合成資産の担保は、「担保品が完全に陥落した」シナリオを想定し、前述の3つのパラメータ(LTV、プール深さ、クロス展開数)を用いたストレステストを行う必要がある。
L2ガバナンスとDAO:緊急権限は透明かつ責任追及可能であるべきだ。多くの主要L2はこの能力を持つが、技術ドキュメントに埋もれ、ユーザ向け資料には明示されていないことが多い。ガバナンスの仕組みは、発動条件、範囲、時間制約、事後の責任追及を明文化すべきだ。
ユーザ側:DeFiの合成性に内在するシステムリスクを理解すべきだ。今回の事件では、rsETHに一度も触れていないWETH預入者が5つのチェーンで流動性を凍結された。単一ポジションのリスクだけでなく、あなたの資産が関わるプロトコル、プール、担保タイプ、チェーンの相互関係もリスクの一部である。