2つのブリッジ攻撃で6億600万ドルが流出し、130億ドルの引き出しが発生しました。クロスチェーンの連鎖危機がDeFiを崩壊寸前に追い込んだ経緯と、業界の対応策を解説します。
Marcus Webb
DeFiリサーチリード
2026年4月は、2025年2月以来最悪のDeFi攻撃月となりました。18日間で12件のハッキングにより6億600万ドルが流出し、130億ドルの引き出し連鎖が発生しました。これにより、現代のDeFiインフラがいかに深く相互接続されているかが明らかになりました。
数字は衝撃的です。わずか18日間で12件の個別の攻撃がDeFiプロトコルから6億600万ドルを流出させました。被害の95%を占めるのは2つの事件です。SolanaのDrift Protocolハック(2億8,500万ドル、4月1日)とEthereumのKelp DAOブリッジ攻撃(2億9,200万ドル、4月18日)です。この2件を合わせると、2026年に盗まれた暗号資産全体の75%に相当します。
しかし、直接的な損失は物語の一部に過ぎません。本当の危機は連鎖反応でした。48時間でAaveから84億5,000万ドルが流出し、DeFiのTVLは1月の高値1,100億ドルから約820億ドルまで25%下落しました。そして「DeFi is dead」というフレーズが暗号資産のSNSで3日連続トレンド入りしました。
本記事では、何が起きたのか、なぜ起きたのか、そして今後どうなるのかを分析します。
4月1日、攻撃者はSolana最大の無期限先物DEXであるDrift Protocol(TVL 5億5,000万ドル)から2億8,500万ドルを流出させました。攻撃の実行には12分しかかかりませんでしたが、準備には3週間を要しました。
手法はスマートコントラクトのバグではありませんでした。攻撃者はクオンツトレーディング企業を装い、数週間かけてDriftのセキュリティカウンシルメンバーとの信頼関係を構築しました。Solanaの「durable nonces」機能(トランザクションを事前署名して後から実行できる機能)を悪用し、正規の署名者を騙して、後にプロトコルに対して使用される休眠トランザクションを承認させました。
制御権を掌握した攻撃者は、無価値な偽造トークンを担保としてホワイトリストに登録し、5億ユニットを預け入れた後、2億8,500万ドル相当のUSDC、SOL、ETHを引き出しました。この影響は20以上のSolanaプロトコルに波及しました。Carrot ProtocolはTVLの50%を失った後、ミントおよび償還機能を一時停止しました。Pyra Protocolは引き出しを完全に無効化しました。
ブロックチェーン分析企業Ellipticは、この攻撃をDPRK関連の実行者と結びつけました。これは2025年から2026年にかけて加速している国家支援型の攻撃パターンと一致しています。
17日後の4月18日、Kelp DAOブリッジが2億9,200万ドルの攻撃を受けました。これは根本的に異なるタイプの攻撃であり、クロスチェーンブリッジアーキテクチャの構造的な弱点を露呈させました。
UTC 17:35、攻撃者はEthereumメインネット上で116,500 rsETHをミントしました。これはKelp DAOの流通量の約18%に相当し、約2億9,200万ドルの価値がありました。これらのトークンには裏付けがありませんでした。偽造されたLayerZeroメッセージが通過したのは、ブリッジがクロスチェーン転送の検証を単一のDecentralized Verifier Network(DVN)に依存していたためです。
攻撃者はその単一の検証者のインフラを侵害し、トランザクション検証に使用されるサーバーを汚染しました。第二の検証レイヤーが存在しなかったため、ブリッジは偽造メッセージを正当なものとして受け入れ、裏付けのないrsETHをEthereum上にリリースしました。
LayerZeroは、この攻撃が1-of-1のDVN構成に起因することを確認しました。事後分析では、LayerZeroのインフラを使用するプロトコルの40%が同じ単一検証者構成で運用されていることが明らかになりました。
その後の責任追及は、DeFiインフラに関する不都合な真実を露呈させました。LayerZeroはKelpの構成選択を指摘しました。Kelpは、LayerZero自身のクイックスタートガイドやデフォルトのGitHubテンプレートが開発者を1-of-1構成に誘導していたと反論しました。双方とも部分的に正しいと言えます。デフォルト設定は安全ではなく、Kelpもそれを変更しませんでした。
LayerZeroはその後、単一検証者構成で運用するアプリケーションに対してはメッセージの署名を行わないと発表し、プロトコル全体でマルチDVN構成(2/3、3/5など)への移行を強制しました。
Kelp DAO攻撃の影響は2億9,200万ドルにとどまりませんでした。rsETHがDeFi全体で広く担保として使用されていたため、裏付けのないトークンが複数のプロトコルにわたる連鎖的な障害を引き起こしました。
Aaveは最も大きな二次的影響を受けました。レンディングプロトコルはrsETH市場を凍結しましたが、預金者がすでに引き出しを開始した後でした。48時間で84億5,000万ドルの預金がAaveから流出し、TVLは264億ドルから179億ドルに減少しました。rsETHが裏付けられないままの場合、Aave自体が最大2億3,000万ドルの不良債権を被る可能性があります。
| プロトコル | 影響 | 対応 |
|---|---|---|
| Aave | 84億5,000万ドルの引き出し、2億3,000万ドルの不良債権リスク | rsETH市場を凍結、ガバナンス提案を検討中 |
| Pendle | rsETH PT/YT市場に影響 | rsETH取引ペアを一時停止 |
| Compound | rsETH担保を通じたエクスポージャー | 影響を受けた市場を凍結 |
| Euler | rsETHを通じた間接的エクスポージャー | 預金を一時停止 |
| Ether.fi | LayerZeroブリッジへのエクスポージャー | weETH/eETHブリッジを一時停止 |
メカニズムは教科書的な連鎖反応です。rsETHは数十のプロトコルで担保として使用されていました。裏付けが失われた時点で、rsETHを担保として受け入れていたすべてのプロトコルが不良債権リスクに直面しました。預金者にとっての合理的な対応は、直接的なエクスポージャーのないプロトコルからも引き出すことでした。相互接続関係をリアルタイムで評価することが困難だったためです。
その結果、DeFiのTVLは約824億ドルまで下落し、1年間で最低水準となりました。2026年初頭の1,100億ドルからは25%の下落です。Fear and Greed Indexは27まで低下しました。
4月の攻撃は、確立されたパターンに当てはまります。クロスチェーンブリッジは一貫してDeFiで最も危険な攻撃対象領域となっています。
Wormholeブリッジが3億2,000万ドルの攻撃を受ける
Roninブリッジから6億2,500万ドルが流出(Lazarus Group)
Orbit Chainブリッジが8,100万ドルを損失
Bybit取引所ハック、15億ドル(Lazarus Group)
Drift Protocol、2億8,500万ドル(DPRK関連)
Kelp DAOブリッジ、2億9,200万ドル(Lazarus Group)
Kelp DAO攻撃は、ほぼすべての主要なブリッジ攻撃と根本原因を共有しています。検証プロセスにおける単一障害点です。侵害されたマルチシグ(Ronin)、欠落したバリデーションチェック(Wormhole)、単一のDVN(Kelp)のいずれであれ、パターンは同じです。ブリッジのセキュリティは検証の冗長性に依存しており、プロトコルは繰り返し不十分な冗長性のままリリースしています。
北朝鮮の国家支援ハッカーは、DriftとKelp DAOの攻撃を通じて、2026年4月だけで暗号資産から推定5億7,700万ドルを窃取しました。これらの攻撃の巧妙さは増しています。DriftのソーシャルエンジニアリングアプローチとKelpのインフラ侵害は、いずれも数週間の準備と深い技術的知識を必要としました。
業界の対応は過去のサイクルよりも迅速でした。いくつかの具体的な変更がすでに進行中です。
LayerZeroの必須マルチDVNポリシーは、最も明白な障害モードを排除します。1-of-1の検証者構成に対するメッセージ署名を拒否することで、LayerZeroは現在安全でない構成で運用している40%のインテグレーターにアップグレードを強制します。これは最もインパクトのある単一の変更ですが、すべての攻撃ベクトルを防ぐわけではありません。
Aaveのガバナンス提案は、担保としてのリキッドリステーキングトークン(LRT)の構造的リスクに対処しています。この事件は、DeFiレンディングプロトコルが外部ブリッジの完全性に依存するLRT資産に対して不十分なリスクパラメータを設定していたことを露呈しました。
リアルタイム監視は改善しています。BlockaidやChainalysisなどのオンチェーンセキュリティ企業が数時間以内に技術的な事後分析を公開し、複数のプロトコルが手動介入前にトリガーされる自動サーキットブレーカーを実装しました。
規制圧力が高まっています。4月の損失は、DeFiセキュリティ監査の義務化を求める声に緊急性を加えています。2026年3月に策定されたSEC-CFTCフレームワークがすでに管轄権の基盤を提供しており、Kelp DAOの事件はセキュリティ基準がなぜ重要かを示す具体的な事例を規制当局に提供しています。
過去のデータは楽観的な見方にある程度の根拠を提供しています。2022年のWormholeハック後、DeFiのTVLは約15%下落しましたが、1か月以内に損失の80%を回復しました。現在のFear and Greedの数値27は、より脆弱なセンチメントを示唆しており、回復が通常の4-6週間の期間を超える可能性があります。
いくつかの要因が最終的な回復を支持しています。Kelp DAO事件における基盤となるリステーキングコントラクト自体は障害を起こしていません。EigenLayerのデリゲーションは維持されています。メインネットのrsETHは依然として正当な預金によって裏付けられています。問題はブリッジであり、リステーキングプロトコル自体ではありませんでした。
DeFiにおける130億ドルの引き出しは、実際のプロトコル破綻ではなく、恐怖によって引き起こされました。資金流出を経験したプロトコルのほとんどは、rsETHへの直接的なエクスポージャーを持っていませんでした。市場がこの区別を消化するにつれて、より強固なセキュリティ体制を持つプロトコルに資本が戻る可能性が高いです。
注目すべき重要な指標はAaveのガバナンス決議です。プロトコルが無秩序な清算イベントなしに潜在的な不良債権を管理できれば、信頼は回復するでしょう。緊急措置が必要になったり、さらなる損失が発生した場合、連鎖反応はさらに深刻化する可能性があります。
この余波を乗り越える投資家にとって、最も重要な3つのシグナルがあります。
ブリッジ構成の監査。 どのプロトコルがマルチDVN構成に移行したかを追跡しましょう。このデータはオンチェーンで公開検証可能です。迅速に対応するプロトコルは、強固なセキュリティ文化を示しています。
Aaveのガバナンス結果。 rsETHの不良債権に対するコミュニティの対応は、実収益を持つDeFiプロトコルがブラックスワンイベントをどのように管理するかの先例を作ります。
TVLの安定化。 主要なレンディングプロトコルからの純流出が止まれば、恐怖に駆られた局面は終了です。DefiLlamaの週次DeFi TVLデータが最もクリーンなシグナルです。
6億600万ドルの直接的な損失は深刻です。130億ドルの恐怖に駆られた引き出しはさらに深刻です。しかし、構造的な変化、すなわち必須のマルチ検証者ブリッジ、より良い担保リスクパラメータ、リアルタイム監視は、真の進歩を表しています。DeFiのインフラはストレステストを受けており、生き残ったプロトコルはより強くなるでしょう。
免責事項: 本記事は情報提供のみを目的としており、財務アドバイスを構成するものではありません。暗号資産への投資には重大なリスクが伴います。投資判断を行う前に、必ずご自身で調査を行い、資格を持つ財務アドバイザーにご相談ください。
市場分析と実用的な洞察。スパムは一切ありません。
