lpd

LayerZero LabsはKelpDAO攻撃事件報告を発表し、同社のクロスチェーン通信プロトコルに基づいて構築されたKelpDAO rsETHクロスチェーンブリッジが攻撃を受け、約116,500枚のrsETH（約2.92億ドル）が盗まれたことを確認しました。Mandiant、CrowdStrikeなどの複数のセキュリティ機関と独立した研究者は、この攻撃を北朝鮮関連のハッカー組織TraderTraitor（UNC4899）に起因するとしています。報告によると、攻撃は2026年3月6日に始まり、攻撃者はソーシャルエンジニアリング手法を用いてLayerZeroの開発者アカウントに侵入し、セッションキーを取得してRPCクラウド環境に浸透し、内部RPCノードのデータをさらに汚染し、監視システムおよび分散型検証ネットワーク（DVN）を欺くために返される結果を操作しました。LayerZero Labsは正式にセキュリティ戦略を調整することを発表し、単一の検証構成において自社のDVNが唯一の署名者として機能することを許可しないこと、影響を受けたクラウドインフラを再構築すること、短期証明書、即時権限アップグレード、および多者承認メカニズムを導入してセキュリティを強化することを含みます。

CoinDeskの報道によると、KelpDAOが攻撃を受けて2.92億ドルの損失を被った後、業界はクロスチェーンインフラの安全性を再評価しており、約40億ドルの資産がLayerZeroからChainlinkのクロスチェーン相互運用プロトコル（CCIP）に移行を完了または進行中です。DeFiプロトコルLombardは、この移行の波に最新で加わったプロジェクトです。このプロトコルはLayerZeroの使用を中止し、10億ドル以上のビットコイン担保資産をChainlink CCIPに移行することを発表し、この決定は4月の攻撃事件後に内部の安全性を徹底的に見直した結果であると述べています。Lombardは2種類のビットコイン担保トークン、LBTCとBTC.bを発行し、Solana、Etherlink、Berachain、Corn、TACなどのチェーン上の資産移行を優先的に完了させるとともに、MorphとSwellでのLayerZeroの使用を終了します。LombardはCCIPを選択した理由として、独立したノードオペレーター、内蔵の速度制限メカニズム、監査済みのインフラを挙げています。さらに、このプロトコルはChainlinkのクロスチェーントークン標準を採用し、資産のクロスチェーン流通を実現するために焼却と鋳造モデルを用います。以前、Kelp DAO、Solv Protocol、Re、暗号取引プラットフォームKrakenも同様の移行を完了しており、これらのプロジェクトの合計で約40億ドルの資産が移転されました。Chainlink Labsの最高ビジネス責任者Johann Eidは、「私たちは業界内での継続的なリスク回避の移行の波を目の当たりにしています。」と述べています。

CoinDeskの報道によると、Aave Labsは資産の上場と担保のリスク管理ルールを再構築し、既存の価格とボラティリティの評価に加えて、互換性、ネットワークセキュリティ、基盤となるアーキテクチャの審査を新たに追加し、資産発行者向けの最低基準ガイドラインを発表する予定です。この動きは、4月に発生したKelpDAOのクロスチェーンブリッジ攻撃事件に起因しており、ハッカーは約2.93億ドルの裏付けのないrsETHを鋳造し、Aaveで本物のwETHを担保に借り入れたため、プロトコルに数億ドルの不良債権が発生しました。Aaveはまた、単一プールの視点から異なるDeFiプロトコル間のシステム的関連性を研究する方向にシフトし、クロスプロトコルリスクを低減することを目指し、他のDeFiプロジェクトにも同様の基準を追随するよう呼びかけています。

KelpDAO に対する rsETH セキュリティ事件における LayerZero の非難について、LayerZero の CEO ブライアン・ペレグリーノが詳細な返信をツイートし、その内容の多くが完全に事実でないと述べました。ブライアンは、KelpDAO が最初に使用していたのは LayerZero のデフォルトの MultiDVN または DeadDVN 設定であり、後に手動で 1/1 設定に移行したと指摘しました；1/1 設定の下では、ほぼ 100% の取引量が rsETH から来ていました；LayerZero のドキュメントでは、1/1 設定を本番環境で使用することは推奨されておらず、具体的な取引記録やドキュメントのスクリーンショットを証拠として提供しています。

KelpDAOは、復興基金へのコミットメントを完了し、Aaveなどが主導するDeFi United復興プログラムに2000 ETHの資金を提供したことを発表しました。この資金は、rsETHのペッグサポートを回復し、システムの正常な運営を促進するために使用されます。この資金は一度限りの投入であり、rsETHを名目上の交換比率に回復させることを目的としています。4月18日の事件後、DeFi UnitedはMantle、Consensys、Arbitrum、Lido Finance、LayerZeroなどの複数のエコシステム参加者と共同で復興の道筋を策定しました。その内容には、ブリッジ金庫の再資本化、オラクル機能の回復、影響を受けた市場の資金ギャップの修復が含まれています。Kelpは、その投入が全体の修復プロセスを加速するのに役立つと述べています。Kelpは、いかなる公の声明の前に、社内でのコミットメントは「rsETH保有者は見捨てられない」というものであり、今回の貢献はそのコミットメントの直接的な表れであると強調しています。各方面の資金が徐々に整う中、rsETHの担保サポートは徐々に正常に戻り、会社はコミュニティに進捗を継続的に更新していく予定です。

Aaveは複数の機関と共同で「DeFi United」救助プログラムを開始し、KelpDAOの脆弱性攻撃によって発生した約2.92億ドルの損失に対処し、不良債権の拡大を防ぎます。攻撃はLayerZeroとの統合の脆弱性に起因し、ハッカーは無担保のrsETHを偽造し、Aaveで約1.9億ドルの資産を担保として借り入れたため、担保が歪み、取り付け騒ぎを引き起こし、プラットフォームのTVLは一時的に約100億ドル消失しました。現在、Lido Finance、EtherFiおよび創設者のStani Kulechovが資金注入案を提案しています。Arbitrumは一部の資金を凍結しましたが、残りの資産はTHORChainを通じて移転されており、回収は困難です。現在の重点は共同資金注入による「穴埋め」であり、DeFi貸出システムの安定を図っています。

公式の情報によると、KelpDAOは、過去数日間、チームがパートナー、同盟者、コミュニティの支援の下で関連する事件の処理を継続的に進めており、現在の議論は前向きな方向に進展しており、適切な解決策の達成を加速していると述べています。プロジェクト側は、「ユーザー優先」という核心原則を常に守り、今後の措置も全体のユーザー利益を保障することを指針として段階的に実施されると強調しています。過去4日間、Kelpチームは複数の関係者と連携し、24時間体制で運営し、各関連者と密接にコミュニケーションを取り、複数の潜在的な解決策において実質的な進展を遂げました。その中には、Arbitrum Security Councilが盗まれた資金を凍結する措置を講じたことや、SEAL 911が初期調査に参加し、事件に対する客観的で明確な分析支援を提供したことが含まれます。Kelpは、現在の作業の重点がユーザー資産の安全を保護し、プロトコル自体を強化することに集中していると述べています。この事件はプロジェクトにとって重要な意味を持つだけでなく、業界全体にとっても示唆に富む価値があります。チームは公式なチャネルを通じて今後の進展を引き続き開示し、エコシステムのパートナーとコミュニティの継続的な支援に感謝しています。以前の報道によると、KelpDAOのハッカーは基本的に1.75億ドルのETHをBTCにマネーロンダリングしたとされています。

チェーン上のアナリスト余烬の監視によると、1.5日をかけて、KelpDAOのハッカーは75,700枚のETH（1.75億ドル）をほぼ全てBTCに交換しました。ハッカーは主にTHORChainプロトコルを通じてクロスチェーン交換を行い、この行為はTHORChainに8億ドルの取引量と91万ドルのプラットフォーム手数料収入をもたらしました。

派盾の監視によると、KelpDAOの攻撃者は盗まれた資産の移転を開始しました：彼らは一部の盗まれたETHをEthereumメインネットからAcross Protocolを通じてArbitrumに移動し、その後USDTに交換し、LayerZeroを介してTRON DAOエコシステムにルーティングしました。この経路は、攻撃者がマルチチェーンブリッジとステーブルコインの変換手段を通じて資金の分散と洗浄を行っていることを示しています。今後の資金の流れは引き続き追跡する必要があります。

彭博社の報道によると、ジェフリーズのレポートが示すように、先週末に発生した小規模な暗号プロジェクトに対する約3億ドルのハッキング攻撃と、それに続く最大の分散型貸付プラットフォームである100億ドルの資金流出事件（KelpDAOとAaveの騒動）は、ウォール街のブロックチェーン技術への関心を弱める可能性があるとのことです。ジェフリーズのデジタル資産研究チームのアナリスト、アンドリュー・モス氏は、過去1年間、銀行、資産運用会社、決済機関が今回北朝鮮のハッカーによって利用された技術システムに類似したブロックチェーン製品を開発してきたと指摘しています。レポートは、このような事件が伝統的な金融市場に直接的な影響を与える可能性は低いと考えていますが、伝統的な金融機関が関連プロセスを一時停止し、ブロックチェーンビジネスをさらに進める前にリスクを再評価する可能性があると警告しています。

チェーン上のアナリストSpecter（@SpecterAnalyst）の監視によると、北朝鮮のハッカーグループTraderTraitorは、北京時間の今日未明にKelpDAOから盗まれた資金のマネーロンダリングを開始しました。これは、Arbitrum Councilが30.7 ETH（約7100万ドル）を凍結してからわずか3時間後のことです。攻撃者は残りの資金を3つのウォレットに分割し、それぞれ約2.5万ETH（約5760万ドル）、2.57万ETH（約5920万ドル）、および2.5万ETH（約5790万ドル）を保有しています。その中で、3つ目のウォレットはすぐにマネーロンダリングを開始し、現在は約3800ETH（約800万ドル）しか残っていません。資金は主にTHORChainを介してビットコインネットワークにブリッジされており、約99%の資金がこのプロトコルを通過したため、THORChainの当日の取引量は2.11億ドルに急増し、30日の平均値の10倍を超え、約18.9万ドルの手数料が発生しました。今回のマネーロンダリングの過程で、資金はBTC Turk（2025）およびBybit（2025）のハッカー事件からの不正所得と混合されており、現在ビットコインネットワーク上で追跡されている関連資金は合計約442BTC（約3300万ドル）に達しています。全体のマネーロンダリングプロセスでは、400以上のアドレスが使用されています。

オンチェーン調査員のZachXBTが更新を発表し、KelpDAOに関連する攻撃資金が移動し始めたことを示しています。その中で約150万ドルがThorchainを通じてイーサリアムメインネットからビットコインネットワークにクロスチェーンで移動され、さらに約7.8万ドルがUmbraを通じて移転されました。関連する攻撃アドレスの初期資金はTornado Cashからのもので、資金の洗浄とクロスチェーン移転はまだ進行中です。

PeckShield の監視によると、KelpDAO の攻撃者は 75,700 ETH を 2 つの新しいアドレスに移転しました。

Arbitrum セキュリティ委員会のお知らせでは、KelpDAO の脆弱性に関連する Arbitrum One アドレスに保管されていた 30,766 ETH を救出するために緊急措置を講じたことが発表されました。セキュリティ委員会は法執行機関の協力を得て攻撃者の身元を特定し、常に Arbitrum コミュニティの安全と完全性を維持することを前提に、いかなる Arbitrum ユーザーやアプリケーションにも影響を与えないようにしています。大量の技術調査と審議を経て、セキュリティ委員会は他のチェーンの状態や Arbitrum ユーザーに影響を与えずに資金を安全な場所に移動させる技術的なソリューションを特定し、実行しました。米国東部時間 4 月 20 日午後 11 時 26 分時点で、資金は中間の凍結ウォレットに無事に移動されました。元の資金を保有していたアドレスはこれらの資金にアクセスできなくなり、資金を移動させるためのさらなる行動は Arbitrum 管理機関のみが行うことができ、関連する各方面と調整を行います。

SlowMistの創設者余弦（@evilcos）によると、今回のKelpDAO約2.9億ドルの盗難事件の攻撃の核心は、LayerZero DVN（分散型検証者ネットワーク）下流のRPCインフラストラクチャに対する標的型毒物投与です。具体的な攻撃手順は次の通りです：まず、LayerZero DVNが使用しているRPCノードのリストを取得し、その後、2つの独立したクラスターを攻撃してop-gethバイナリファイルを置き換えます；選択的欺瞞技術を利用して、DVNに対してのみ偽造された悪意のあるペイロードを返し、他のIPには実際のデータを返します；同時に、攻撃されていないRPCノードに対してDDoS攻撃を仕掛け、DVNを毒されたノードにフェイルオーバーさせ、偽造メッセージの検証を完了した後、悪意のあるバイナリが自壊し、ログを消去します。最終的に、LayerZero DVNは「発生したことのない取引」を発行して検証します。

LayerZero Labsは攻撃事件の説明を発表し、KelpDAOが約2.9億ドルの損失を被ったと述べ、初期判断では攻撃者は北朝鮮に関連するLazarus Group（具体的にはTraderTraitor）であるとしています。攻撃は、彼らの分散型検証ネットワーク（DVN）が依存する下流のRPCインフラを毒化することによって実現され、攻撃者は一部のRPCノードを制御し、DDoS攻撃と組み合わせて、システムを悪意のあるノードに切り替えさせ、クロスチェーン取引を偽造しました。影響を受けたRPCノードはすべてオフラインになり、置き換えられました。DVNは現在、運用を再開しています。LayerZeroは、この事件はKelpDAOのrsETHアプリケーションの設定に限られており、他の資産やアプリケーションには影響を与えていないと強調しています。その理由は、KelpDAOが当時単一のDVN（1/1）アーキテクチャを採用しており、公式に長期的に推奨されている多DVN冗長メカニズムを使用していなかったため、偽造メッセージを識別するための独立した検証ノードが不足していたからです。LayerZeroは、そのプロトコル自体には脆弱性が存在しないこと、多DVN構成のアプリケーションは影響を受けていないこと、システムには感染性リスクが存在しないことを指摘しています。LayerZeroは、すべての単一DVN構成のプロジェクトができるだけ早く多DVNアーキテクチャに移行するよう促進し、1/1構成のアプリケーションに対する署名と検証サービスの提供を一時停止しています。同時に、同社は世界の法執行機関と協力して調査を行い、業界のパートナーと共に盗まれた資金の追跡を支援しています。LayerZeroは、この事件がモジュラーセキュリティアーキテクチャの価値を浮き彫りにし、業界にRPC検証リンクの潜在的なセキュリティリスクに注意を促すものであると述べています。

DefiLlamaの創設者0xngmiは、KelpDAOがrsETHハッキング事件後に取る可能性のある3つの行動パスをシミュレーションしました。3つのパスには明らかな欠陥があり、最終的な決定はKelpDAOの信用とAaveのリスク耐性を試すことになります。パス1：すべてのユーザーが損失を共同で負担します。KelpDAOはすべてのrsETH保有者に対して一律に18.5%の損失を減額します。現在、Aave全体で約66.6万枚のrsETHが担保されており、主ネットとL2で高いレバレッジがかかっています（すべてが95%清算LTVにあると仮定）。社会的損失が発生した場合、主ネットのすべてのポジションの権益は完全に消失し、約2.16億ドルの不良債権が発生します。Umbrellaプロトコルは5500万ドルの不良債権をカバーできますが、Aaveの国庫はさらに8500万ドルを負担し、約7600万ドルのギャップが残ります。KelpDAOは借入やAaveトークンの販売（現在の時価総額は約5100万ドル）を通じて補填する可能性がありますが、これでもAaveにかなりの圧力をかけることになり、すべてのユーザーが共同で損失を負担する必要があります。パス2：L2のrsETH保有者を直接Rugします。KelpDAOは主ネットのrsETHのみを保証し、L2のrsETHは無価値と見なします。Aave L2には現在約3.59億ドルのrsETH担保があります（現在のオラクル価格で計算）。すべてを最大レバレッジで計算すると、約3.41億ドルの不良債権が発生し、Umbrellaプロトコルのカバーを全く受けられません。Aaveは国庫や借入を使用して市場の一部を救うことしかできず、最も損失が大きいArbitrum、Mantle、Baseなどのチェーンを放棄する可能性が高く、これによりこれらのL2市場が崩壊します。この方案はAave主ネットへの影響は小さいですが、L2エコシステムの信用を深刻に損ない、連鎖反応を引き起こす可能性があります。パス3：ハッキング攻撃前のスナップショットを使って当時の保有者にのみ返還を試みますが、実行が非常に難しいです。KelpDAOはハッキング攻撃が発生する前のrsETH保有者に対してスナップショットに基づいて全額返還を試み、後に購入または移転した保有者は自己責任で損失を負担します。しかし、資金は攻撃後に大量に流動しており、DeFiプロトコルの本質は流動性プールであるため、異なるバッチの預金者を真に区別することはできず、技術的な実行難易度は非常に高いです。ハッカーはAave主ネットで1.24億ドル、Arbitrumで1800万ドルを借り入れ、Umbrellaプロトコルのカバーを差し引いた後でも約9100万ドルの損失が残ります。この方案は理論的には拡散影響を最小化できますが、実際の操作はほぼ不可能であり、法的およびコミュニティの争議を引き起こす可能性があります。

Defillamaの創設者0xngmiはXプラットフォームで、KelpDAOのハッキング事件がDeFi貸付プロトコルの連鎖的なパニック引き出しを引き起こしたと述べています。Solana上のプロトコルや直接的な影響を受けていないプロトコルも例外ではなく、具体的なデータは以下の通りです：Aaveの純流出は620億ドル（-23%）、Morphoの純流出は7.16億ドル（-9%）、Skyの純流出は2.72億ドル（-4%）、JupLendの純流出は7600万ドル（-8%）です。0xngmiは、全体のDeFi TVLがこのために直接的に約100億ドル蒸発したと補足しています。このような事件では誰も勝者ではなく、業界全体の「ケーキ」が縮小するだけで、全員が損害を受けます。