単一DVN構成悪用でDeFi市場に動揺広がる
LayerZeroは、2026年4月18日に発生したKelpDAOの不正アクセスについて、北朝鮮のハッカー集団Lazarusグループ、特にTraderTraitorと呼ばれるサブグループが関与した可能性が高いと発表した。
— LayerZero (@LayerZero_Core) April 20, 2026
KelpDAOインシデント声明
2026年4月18日、KelpDAOが約2億9,000万ドル相当の不正アクセスを受けました。予備的な調査結果から、高度な技術を持つ国家主体、おそらく北朝鮮のラザルスグループ、より具体的には…
被害規模は約2億9,200万ドル(約465億円)とされ、現時点で2026年の分散型金融分野における最大規模の損失となった。LayerZeroによると、攻撃者はDVN(分散型検証ネットワーク)で使用されるRPCノードを侵害し、不正なクロスチェーンメッセージを承認させた。複数のノードのうち2つが不正操作され、同時に未侵害ノードに対して分散型サービス拒否攻撃が行われたことで、ネットワークが攻撃者の管理下にあるノードに依存する状態が作られた。
KelpDAOは単一の検証者構成である1対1のDVN設定を採用しており、この構成が悪用された。二次検証が存在しなかったため、不正な取引を検出または拒否する仕組みが機能しなかった。LayerZeroはこれまで、複数の検証者による構成への移行を推奨していたが、KelpDAOは単一構成での運用を継続していた。
LayerZeroは、自社プロトコル自体に本質的な脆弱性はないと主張しており、今回の攻撃は外部インフラの侵害と設定上の選択が組み合わさったものだと説明している。攻撃は検知を回避するよう設計されており、実行後にログや設定を削除する仕組みも確認された。
約11万6500rsETH流出でDeFi全体に影響拡大
この攻撃により、rsETHトークン約11万6,500枚が流出した。影響はDeFi(分散型金融)市場全体に波及し、Aave(アーベ)のロックされた総資産額は179億4,700万ドル(約2.85兆円)まで減少し、短期間で大幅な資金流出が確認された。全チェーンの総資産額も994億9,700万ドル(約15.8兆円)から862億8,600万ドル(約13.7兆円)へと減少している。
AaveのネイティブトークンAAVEも下落し、約20%値を下げた後、さらに下落が続いた。大口保有者による売却も確認され、市場の信頼低下が広がっている。LayerZeroは、今回の影響はKelpDAOに限定されており、他のクロスチェーン資産やアプリケーションには影響がないと説明した。影響を受けたRPCノードはすでに廃止され、新たな構成へと置き換えられている。
同社はすべてのアプリケーションに対し、冗長性を備えたマルチDVN構成への移行を求めている。LayerZeroは今回の攻撃を「非常に高度な攻撃」と説明している。
