広場
最新
注目
ニュース
プロフィール
ポスト
Yusfirah
2026-04-21 08:49:05
フォロー
#KelpDAOBridgeHacked
**KelpDAOブリッジの脆弱性:$292 百万DeFiハックの包括的分析**
2026年4月18日、分散型金融エコシステムは、KelpDAOのLayerZeroを搭載したrsETHブリッジが悪用され、約$292 百万の損失をもたらした最も重大なセキュリティ侵害の一つを目撃しました。この事件はDeFiの景観に衝撃を与え、複数のレンディングプロトコルに緊急対応を引き起こし、クロスチェーンブリッジインフラの重大な脆弱性を露呈しました。
**脆弱性の仕組み**
4月18日UTC17:35頃、攻撃者はLayerZeroのOmnichain Fungible Token (OFT)アダプタ技術を利用したKelpDAOのrsETHブリッジを標的とした高度な攻撃を実行しました。攻撃者はlzReceive関数を通じてクロスチェーンメッセージを偽造し、Ethereumメインネットの検証メカニズムを回避しました。攻撃者はソースチェーンをUnichain (EID 30320)として偽装し、ブリッジのエスクローから116,500の裏付けのないrsETHトークンを発行させることに成功しました。
この脆弱性の根本原因は、限定されたRPCエンドポイントに依存した脆弱な1対1の分散型検証者ネットワーク (DVN) の署名者クォーラム設定にありました。これらのエンドポイントは侵害され、誤った検証データをブリッジコントラクトに供給していたと考えられます。特筆すべきは、ソースチェーン上で実際のトークン燃焼は行われていないにもかかわらず、Ethereumメインネット上でrsETHが誤って発行されたことです。この攻撃の主要なトランザクションハッシュは 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222 であり、Routescanなどのブロックチェーンエクスプローラーで追跡可能です。
**即時の影響とDeFiの感染拡大**
盗まれたrsETHを単に保有するのではなく、攻撃者はこれらの裏付けのないトークンを複数のレンディングプロトコルに担保として投入し、ブリッジのセキュリティ問題をシステム全体のDeFi感染事件へと変貌させました。盗まれたrsETHは、EthereumメインネットとArbitrumのAave V3およびV4マーケット、さらにCompound V3、Euler、その他約30のレンディングプラットフォームに預け入れられました。これらのポジションから、攻撃者は約83,427 WETHとwstETHを借り入れ、具体的にはEthereumメインネットで52,834 WETH、Arbitrumで29,782 WETHと821 WSTETHを借りていることが分かっています。
この積極的なレバレッジ戦略は、DeFiエコシステム全体に大きな不良債権リスクをもたらしました。現在の推定では、影響を受けたレンディングプロトコル全体で損失は$120 百万から$236 百万の範囲と見積もられ、Aaveが最大のリスクを抱え、最大$230 百万の不良債権となる可能性があります。この状況は、AAVEのガバナンストークンに大きな圧力をかけ、主要なレンディングプラットフォームのリスク管理実践に対する深刻な疑問を投げかけています。
**緊急対応策**
この脆弱性に対する対応は迅速かつ反応的でした。4月18日UTC18:21頃、KelpDAOの緊急停止マルチシグはメインネットおよびすべてのLayer 2ネットワーク上のコアrsETHコントラクトを凍結しました。その直後、AaveはV3とV4のrsETHマーケットを凍結し、これに追随してSpark、Fluid、Ethena、Upshift、Morphoなど多くのプロトコルも同様の措置を取りました。
Aaveの創設者兼CEOのStani KulechovはXを通じて、rsETHがAave V3とV4の両方で凍結され、KelpDAOのブリッジ脆弱性に対応して資産の借入能力が剥奪されたことを確認しました。公式のAaveアカウントは、コミュニティがこの緊急事態が収束した後、rsETHをすべてのAaveマーケットから恒久的に除外すべきかどうか議論する必要があると示唆しています。
**責任追及と技術分析**
セキュリティ研究者やブロックチェーン分析企業は、この攻撃を北朝鮮のラザルスグループに帰属させています。ラザルスグループは、暗号資産プラットフォームを標的とする国家支援のハッカー集団として悪名高いです。攻撃手法は、忍耐強い侵入、信頼メカニズムの操作、検知能力の抑制といったラザルスの典型的な戦術と一致しています。
LayerZero Labsは、攻撃の経路に関する追加の技術詳細を提供しています。彼らの分析によると、攻撃者はDVNインフラで使用されているRPCエンドポイントのリストにアクセスし、その後、別々のクラスター上で動作する2つの独立したノードを侵害しました。攻撃者はさらに、op-gethノードを実行しているバイナリを置き換え、検証データの制御を掌握したとされています。
KelpDAOは、セキュリティ侵害の責任をLayerZeroのインフラに帰している一方、LayerZeroは、問題はKelpDAOの特定のDVN設定に起因すると反論しています。LayerZeroは、彼らや他の外部関係者が以前にDVNの多様化に関するベストプラクティスをKelpDAOに伝えていたと主張し、適切な設定が攻撃を防ぐことができた可能性を示唆しています。
**市場への影響とrsETHのデペッグ**
この脆弱性は、rsETHの市場ポジションに深刻な影響を及ぼしています。トークンは、その意図されたETH裏付け比率から大きく乖離し、ラップされたrsETHが展開されている20以上のブロックチェーンネットワークの保有者に不確実性をもたらしています。流通しているrsETHの約18%が裏付けのないトークンとなっており、流動ステーキングデリバティブへの信頼は大きく揺らいでいます。
また、DeFi全体にも影響が及び、2026年の総ハック損失額は4月中旬までに$750 百万を超えました。このKelpDAOの脆弱性は、2026年の記録を塗り替え、4月1日のDrift Protocolの$285 百万ハックを数百万ドル上回る規模となっています。2026年のブリッジ脆弱性の集中は、クロスチェーンインフラのセキュリティ課題の継続性を浮き彫りにしています。
**現状と回復の取り組み**
2026年4月21日時点で、KelpDAOとLayerZeroは、根本原因の分析と事後報告に積極的に取り組んでいます。KelpDAOは、公式Xアカウントを通じて、LayerZero、Unichain、セキュリティ監査人、ブロックチェーンの専門家と協力して事件の調査と回復フレームワークの策定を進めていることを確認しました。
LayerZeroは、事件発生時から認識しており、KelpDAOのチームとともに状況の是正に取り組んでいると述べています。彼らは、LayerZeroインフラを利用する他のアプリケーションは引き続き安全であると強調し、詳細な事後分析はKelpDAOおよびSEAL 911セキュリティ対応チームと協力して近日中に公開される予定です。
攻撃者のアドレス(例:0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF)は主要なブロックチェーンエクスプローラーに登録されており、盗まれた資金の動きについても監視されています。ただし、攻撃の高度さと国家支援の関与を考慮すると、回収の見通しは不透明です。
**重要なポイント**
この脆弱性は、DeFiのセキュリティにとって画期的な出来事であり、ブリッジの脆弱性がエコシステム全体のシステムリスクに連鎖する可能性を示しています。特に、堅牢なDVN設定、多様な検証メカニズム、積極的なリスク管理の重要性を浮き彫りにしています。ユーザーにとっては、ラップ資産のリスクと現代DeFiレンディング市場の相互接続性の危険性を再認識させる出来事です。
状況は引き続き進展しており、影響を受けたプロトコルは損失の定量化と修復策の策定に取り組んでいます。ユーザーは、KelpDAO、LayerZero、影響を受けたレンディングプラットフォームの公式チャンネルを通じて、補償計画や回復メカニズムに関する最新情報を監視することが推奨されます。
ZRO
-5.9%
ETH
0.29%
AAVE
0.38%
ARB
-1.33%
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については
免責事項
をご覧ください。
3 いいね
報酬
3
5
リポスト
共有
コメント
コメントを追加
コメントを追加
コメント
ybaser
· 13時間前
月へ 🌕
原文表示
返信
0
ybaser
· 13時間前
2026 GOGOGO 👊
返信
0
Yajing
· 15時間前
月へ 🌕
原文表示
返信
0
HighAmbition
· 16時間前
ただ充電して終わり 👊
原文表示
返信
0
MasterChuTheOldDemonMasterChu
· 17時間前
突撃すればそれだけだ 👊
原文表示
返信
0
人気の話題
もっと見る
#
GatePreIPOsLaunchesWithSpaceX
303.03K 人気度
#
Gate13thAnniversaryLive
764.77K 人気度
#
BitcoinBouncesBack
176.04K 人気度
#
IsraelStrikesIranBTCPlunges
30.61K 人気度
#
USIranTalksProgress
881.33K 人気度
ピン
サイトマップ
#KelpDAOBridgeHacked
**KelpDAOブリッジの脆弱性:$292 百万DeFiハックの包括的分析**
2026年4月18日、分散型金融エコシステムは、KelpDAOのLayerZeroを搭載したrsETHブリッジが悪用され、約$292 百万の損失をもたらした最も重大なセキュリティ侵害の一つを目撃しました。この事件はDeFiの景観に衝撃を与え、複数のレンディングプロトコルに緊急対応を引き起こし、クロスチェーンブリッジインフラの重大な脆弱性を露呈しました。
**脆弱性の仕組み**
4月18日UTC17:35頃、攻撃者はLayerZeroのOmnichain Fungible Token (OFT)アダプタ技術を利用したKelpDAOのrsETHブリッジを標的とした高度な攻撃を実行しました。攻撃者はlzReceive関数を通じてクロスチェーンメッセージを偽造し、Ethereumメインネットの検証メカニズムを回避しました。攻撃者はソースチェーンをUnichain (EID 30320)として偽装し、ブリッジのエスクローから116,500の裏付けのないrsETHトークンを発行させることに成功しました。
この脆弱性の根本原因は、限定されたRPCエンドポイントに依存した脆弱な1対1の分散型検証者ネットワーク (DVN) の署名者クォーラム設定にありました。これらのエンドポイントは侵害され、誤った検証データをブリッジコントラクトに供給していたと考えられます。特筆すべきは、ソースチェーン上で実際のトークン燃焼は行われていないにもかかわらず、Ethereumメインネット上でrsETHが誤って発行されたことです。この攻撃の主要なトランザクションハッシュは 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222 であり、Routescanなどのブロックチェーンエクスプローラーで追跡可能です。
**即時の影響とDeFiの感染拡大**
盗まれたrsETHを単に保有するのではなく、攻撃者はこれらの裏付けのないトークンを複数のレンディングプロトコルに担保として投入し、ブリッジのセキュリティ問題をシステム全体のDeFi感染事件へと変貌させました。盗まれたrsETHは、EthereumメインネットとArbitrumのAave V3およびV4マーケット、さらにCompound V3、Euler、その他約30のレンディングプラットフォームに預け入れられました。これらのポジションから、攻撃者は約83,427 WETHとwstETHを借り入れ、具体的にはEthereumメインネットで52,834 WETH、Arbitrumで29,782 WETHと821 WSTETHを借りていることが分かっています。
この積極的なレバレッジ戦略は、DeFiエコシステム全体に大きな不良債権リスクをもたらしました。現在の推定では、影響を受けたレンディングプロトコル全体で損失は$120 百万から$236 百万の範囲と見積もられ、Aaveが最大のリスクを抱え、最大$230 百万の不良債権となる可能性があります。この状況は、AAVEのガバナンストークンに大きな圧力をかけ、主要なレンディングプラットフォームのリスク管理実践に対する深刻な疑問を投げかけています。
**緊急対応策**
この脆弱性に対する対応は迅速かつ反応的でした。4月18日UTC18:21頃、KelpDAOの緊急停止マルチシグはメインネットおよびすべてのLayer 2ネットワーク上のコアrsETHコントラクトを凍結しました。その直後、AaveはV3とV4のrsETHマーケットを凍結し、これに追随してSpark、Fluid、Ethena、Upshift、Morphoなど多くのプロトコルも同様の措置を取りました。
Aaveの創設者兼CEOのStani KulechovはXを通じて、rsETHがAave V3とV4の両方で凍結され、KelpDAOのブリッジ脆弱性に対応して資産の借入能力が剥奪されたことを確認しました。公式のAaveアカウントは、コミュニティがこの緊急事態が収束した後、rsETHをすべてのAaveマーケットから恒久的に除外すべきかどうか議論する必要があると示唆しています。
**責任追及と技術分析**
セキュリティ研究者やブロックチェーン分析企業は、この攻撃を北朝鮮のラザルスグループに帰属させています。ラザルスグループは、暗号資産プラットフォームを標的とする国家支援のハッカー集団として悪名高いです。攻撃手法は、忍耐強い侵入、信頼メカニズムの操作、検知能力の抑制といったラザルスの典型的な戦術と一致しています。
LayerZero Labsは、攻撃の経路に関する追加の技術詳細を提供しています。彼らの分析によると、攻撃者はDVNインフラで使用されているRPCエンドポイントのリストにアクセスし、その後、別々のクラスター上で動作する2つの独立したノードを侵害しました。攻撃者はさらに、op-gethノードを実行しているバイナリを置き換え、検証データの制御を掌握したとされています。
KelpDAOは、セキュリティ侵害の責任をLayerZeroのインフラに帰している一方、LayerZeroは、問題はKelpDAOの特定のDVN設定に起因すると反論しています。LayerZeroは、彼らや他の外部関係者が以前にDVNの多様化に関するベストプラクティスをKelpDAOに伝えていたと主張し、適切な設定が攻撃を防ぐことができた可能性を示唆しています。
**市場への影響とrsETHのデペッグ**
この脆弱性は、rsETHの市場ポジションに深刻な影響を及ぼしています。トークンは、その意図されたETH裏付け比率から大きく乖離し、ラップされたrsETHが展開されている20以上のブロックチェーンネットワークの保有者に不確実性をもたらしています。流通しているrsETHの約18%が裏付けのないトークンとなっており、流動ステーキングデリバティブへの信頼は大きく揺らいでいます。
また、DeFi全体にも影響が及び、2026年の総ハック損失額は4月中旬までに$750 百万を超えました。このKelpDAOの脆弱性は、2026年の記録を塗り替え、4月1日のDrift Protocolの$285 百万ハックを数百万ドル上回る規模となっています。2026年のブリッジ脆弱性の集中は、クロスチェーンインフラのセキュリティ課題の継続性を浮き彫りにしています。
**現状と回復の取り組み**
2026年4月21日時点で、KelpDAOとLayerZeroは、根本原因の分析と事後報告に積極的に取り組んでいます。KelpDAOは、公式Xアカウントを通じて、LayerZero、Unichain、セキュリティ監査人、ブロックチェーンの専門家と協力して事件の調査と回復フレームワークの策定を進めていることを確認しました。
LayerZeroは、事件発生時から認識しており、KelpDAOのチームとともに状況の是正に取り組んでいると述べています。彼らは、LayerZeroインフラを利用する他のアプリケーションは引き続き安全であると強調し、詳細な事後分析はKelpDAOおよびSEAL 911セキュリティ対応チームと協力して近日中に公開される予定です。
攻撃者のアドレス(例:0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF)は主要なブロックチェーンエクスプローラーに登録されており、盗まれた資金の動きについても監視されています。ただし、攻撃の高度さと国家支援の関与を考慮すると、回収の見通しは不透明です。
**重要なポイント**
この脆弱性は、DeFiのセキュリティにとって画期的な出来事であり、ブリッジの脆弱性がエコシステム全体のシステムリスクに連鎖する可能性を示しています。特に、堅牢なDVN設定、多様な検証メカニズム、積極的なリスク管理の重要性を浮き彫りにしています。ユーザーにとっては、ラップ資産のリスクと現代DeFiレンディング市場の相互接続性の危険性を再認識させる出来事です。
状況は引き続き進展しており、影響を受けたプロトコルは損失の定量化と修復策の策定に取り組んでいます。ユーザーは、KelpDAO、LayerZero、影響を受けたレンディングプラットフォームの公式チャンネルを通じて、補償計画や回復メカニズムに関する最新情報を監視することが推奨されます。