リキッドリステーキングプロトコルKelp DAOは19日、rsETHに関する疑わしいクロスチェーン活動を特定し、イーサリアムメインネットおよび複数のL2でrsETHコントラクトを一時停止したと発表した。オンチェーンデータによると、攻撃者とみられるアドレスに116,500 rsETH(約2.93億ドル、約466億円)が送信されており、4月のDrift Protocol(約2.85億ドル)を上回る2026年最大のDeFiハッキング被害となった。
レイヤーゼロのクロスチェーン通信を悪用──rsETH供給量の18%が流出
Kelp DAOはイーサリアム上のリキッドリステーキングプロトコルで、ユーザーが預け入れたETHをアイゲンレイヤー経由で運用し、rsETHを発行する仕組みだ。rsETHはレイヤーゼロのOFT規格を通じて、アービトラム、ベース、リネア、マントルなど20以上のブロックチェーンに展開されている。
複数のセキュリティ企業の分析によると、攻撃者は事前にトルネードキャッシュ経由でウォレットに資金を投入。レイヤーゼロのEndpointV2コントラクトに偽のクロスチェーンメッセージを送信し、正規の指示と信じ込ませることでブリッジからrsETHを引き出した。流出した116,500 rsETHはrsETH総流通量(約63万枚)の約18%に相当する。
Kelp DAOの緊急対応チームは、攻撃開始(17:35 UTC)から46分後の18:21 UTCにプロトコル全体を停止。その後に試みられた追加の約4万rsETH(約1億ドル相当)の引き出しを阻止した。
レイヤーゼロは19日、「rsETHの攻撃事案を完全に把握し、発生以降Kelp DAOチームと連携して対応を進めている」と表明し、他のアプリケーションへの影響はないとした。セキュリティ団体SEAL_Orgなどと連携して原因の特定を続けており、Kelp DAOと共同で詳細な事後報告を公開する予定としている。
DeFiレンディング最大手のAaveは、攻撃を受けてV3およびV4でrsETH関連市場を予防的に凍結した。Aaveガバナンスによると、日本時間4月19日3時52分頃から順次凍結を開始。V3ではrsETHイーサリアム/プライム/アービトラムとwrsETH zkSync Era/MegaETH/マントル/ベース/プラズマ/アバランチ/インク/リネアが対象となった。V4でもProtocol Security Councilが保護措置を適用し、新規の預入・借入を停止している。
Aave V3/V4が凍結──DeFi全体に連鎖的影響
Aaveは20日、「イーサリアムメインネット上のrsETHは完全に裏付けされている」との分析結果を公表した。Aave自身のコントラクトは侵害されておらず、問題はrsETH側に起因すると説明している。ただし、攻撃後に発生したrsETH借入の精査を進めており、不良債権が生じた場合には補填策を検討するとの方針を示した。
影響はAaveにとどまらず、セキュリティ企業サイバーズによると、スパークレンドやフルイドなど少なくとも9つのプロトコルがrsETH市場を緊急凍結した。AAVEトークンは24時間で約16%下落し、サイバーズは今回の事案を「クロスプロトコル・コンテージョン(伝染)イベント」と表現している。
DeFi市場では直近2週間でDrift Protocol(約2.85億ドル)、Kelp DAO(約2.93億ドル)、CoW Swap、Rhea Financeなど相次いでハッキング被害が発生しており、累計被害額は6億ドルを超えている。クロスチェーンインフラのセキュリティに対する信頼が大きく揺らいでいる状況だ。
関連:3月の暗号資産ハッキング被害、前月からほぼ倍増──連鎖感染的な被害が拡大
関連:ソラナ基盤DEXドリフト、456億円ハッキング被害──DRIFTトークンは一時0.04ドルを割り込む
※価格は4月19日時点でのレート換算(1ドル=159.1円)
