クロスチェーン攻撃後の懸念拡大で流動性枯渇と資金流出が発生
Kelp DAOのrsETHを巡るエクスプロイトを受け、分散型金融市場で大規模な資金流出が発生した。
クロスチェーンブリッジを標的とした攻撃を起点に、不良債権への懸念が広がり、Aave(アーベ)を含む複数のプロトコルへ影響が拡大している。今回の攻撃では、LayerZeroを基盤とするブリッジが悪用され、約11万6,500のrsETHが不正に取得された。被害額は約2億9,300万ドル(約465.8億円)とされ、2026年における最大級のDeFi攻撃の一つとなった。攻撃者は取得したrsETHを担保としてAave V3に預け入れ、ETHおよびWETHを借り入れた。その結果、AaveのETH利用率は100%に達し、貸出プールの利用可能資産は枯渇した。
この状況を受け、不良債権が発生する可能性への懸念が広がり、ユーザーによる資金引き出しが急増した。その結果、合計で54億ドル(約8,585億円)以上のETHがAaveから流出したとされる。ジャスティン・サン(Justin Sun)氏は約1億5,400万ドル(約244.8億円)相当の6万5,584ETHを引き出している。
Lookonchainによるオンチェーン分析では、この資金流出はリスクを認識したユーザーによる行動が反映されたものと指摘されている。
レイヤー2起点の脆弱性が複数プロトコルへ波及
今回のエクスプロイトはイーサリアムメインネットではなく、レイヤー2環境に起因する可能性が高いとみられている。攻撃はLayerZeroのエンドポイント機能を通じて実行され、ブリッジロジックが不正に利用された。
初期調査では、ソースチェーンにおける秘密鍵の漏えいや、DVN設定の単一検証構成が原因として指摘されており、裏付けのないrsETHが発行される状態が生じたとされる。
Kelp DAOは異常を検知後、rsETH関連コントラクトを停止した。AaveはrsETH市場を凍結し、SparkLendやFluidなど複数のプロトコルも取引停止や市場閉鎖などの対応を実施した。rsETHは複数のサービスで担保や流動性として利用されていたため、影響は広範囲に及んだ。セキュリティ企業Cyversは、少なくとも9つのプラットフォームに影響が及んだと指摘している。
またCyversは、今回の事例が複数プロトコル間の相互接続構造により影響が連鎖的に拡大する可能性を示していると述べている。
