KelpDAOのブリッジの脆弱性は、単なる暗号資産ハッキングの見出し以上のものです。これは、DeFiにおいて最大のリスクは、ユーザーが毎日信頼する主要な製品そのものではなく、その背後で動作するインフラストラクチャであることを真剣に思い知らされる出来事です。

4月18日、攻撃者はKelpDAOのブリッジ設定から116,500 rsETHを流出させ、当時の価値は約$293 百万ドルに相当しました。そのrsETHの流通供給量のほぼ18％にあたります。いくつかの報告では、これを2026年の最大のDeFi脆弱性と述べています。

この事件が特に重要なのは、コアのリステーキングモデル自体が失敗した部分ではないように見える点です。報告によると、実際の弱点はLayerZeroのメッセージングに結びついたブリッジの設定にあったと示唆されています。ルートは1つの検証者だけを使用する1対1の検証者設定だったとされており、これにより1つの承認された検証だけで偽のクロスチェーンメッセージを有効に見せかけることが可能でした。

簡単に言えば、ブリッジが1つのチェックポイントのみに依存している場合、そのチェックポイントが侵害されたり誤用されたりすると、システム全体が危険にさらされるということです。これこそが、ブリッジが依然としてDeFiの最も弱いポイントの一つであり続ける理由です。

被害はKelpDAOだけにとどまりませんでした。rsETHを入手した攻撃者は、その後盗んだトークンを担保にAaveで大きな額のWETHを借り入れたと報告されています。これにより、問題はより広範なDeFiエコシステムに拡大しました。なぜなら、悪質な担保が貸付市場に入り込むと、その問題は単一のプロトコルを超えて拡大するからです。

報告によると、AaveはrsETHの市場を凍結し、悪債の被害額はおよそ$196 百万ドルと推定されており、感染の恐怖は市場全体のセンチメントにも迅速に影響を及ぼしました。

現在、この事件は責任追及の戦いに変わっています。LayerZeroは、この脆弱性はKelpDAOの設定に限定されたものであり、偽造メッセージが成功した理由はシングルバリデーターの設定にあると指摘しています。一方、KelpDAOは、リスクの高い設定はLayerZeroのドキュメントに記載されたデフォルトに従ったものであり、LayerZeroが運営するインフラに依存していたと主張しています。

言い換えれば、両者ともブリッジの経路が問題の根源であることには同意していますが、その設計をこれほど大規模に稼働させることを許した責任は誰にあるのかについては意見が分かれています。

また、地政学的な角度も浮上しています。報告によると、初期の兆候は北朝鮮のTraderTraitorグループに関連している可能性が示唆されています。この帰属はまだ初期段階であり慎重に扱う必要がありますが、すでに今年の暗号セキュリティの重要な出来事の一つとなりつつあるこの脆弱性に、さらなる深刻さを加えています。

この事件から得られる本当の教訓は、KelpDAOだけを超えています。DeFiは深く相互接続されてきました。ブリッジはチェーンをつなぎ、リステーキングトークンはエコシステム間を移動し、貸付市場はそれらの資産を担保として受け入れています。その構成性は、好調な時期の成長を促進しますが、失敗時にはダメージを非常に早く広げてしまいます。

1つの弱い検証者、1つの偽造メッセージ、そして1つの有害な担保が、一気に貸し手、流動性提供者、ガバナンスシステム、ユーザーの信頼に影響を及ぼす可能性があります。

この事件が何かを変えるとすれば、それは「十分に安全な」インフラについての市場の考え方を変えるべきだということです。プロトコルは強力なブランド、迅速な採用、堅実なコアメカニズムを持つことができても、そのブリッジの前提が脆弱であれば、システム全体は依然として脆弱なままです。

KelpDAOの脆弱性は、単なる資金の喪失の物語ではありません。それは、隠された信頼、リスクの高いデフォルト、そしてインフラリスクを過小評価したときにDeFiが払う代償の物語です。

ZRO3.26%

AAVE0.34%

原文表示