攻撃者がKelp DAOのLayerZeroブリッジから116,500 rsETHを流出させ、9つのプロトコルで緊急凍結とAaveのTVL60億ドル減少を引き起こしました。
TVL15億7,000万ドルのリキッドリステーキングプロトコルKelp DAOは、4月18日に攻撃者がLayerZero搭載のクロスチェーンブリッジの脆弱性を悪用し、約2億9,300万ドルを失いました。これは2026年最大のDeFiエクスプロイトとなりました。
攻撃者はLayerZeroのメッセージングレイヤーを通じて偽のクロスチェーンメッセージを作成し、Kelpのブリッジに別のネットワークから有効な指示が届いたと信じ込ませました。ブリッジはトークンの総流通量の約18%にあたる116,500 rsETHを攻撃者が管理するアドレスに放出しました。
数分以内に、盗まれたrsETHはAaveのレンディングプロトコルに担保として預けられ、コミュニティが無担保の担保を検出する前に攻撃者は2億ドル以上のwrapped etherを借り入れました。Kelpは最初のエクスプロイトから約46分後に緊急制御を起動し、入金、出金、オラクル機能、rsETHトークン自体を凍結しました。
被害はKelpをはるかに超えて拡大しました。少なくとも9つのDeFiプロトコルが市場の凍結や損害管理措置の実施を急ぎました。AaveはTVLで60億ドルの減少を記録し、トレーダーがプロトコルのレンディングプールにおける無担保リスクを織り込んだことでAAVEトークンは16%下落しました。
このエクスプロイトは、クロスチェーンブリッジインフラにおける持続的な脆弱性を浮き彫りにしています。長年にわたる大規模なブリッジハッキングにもかかわらず、数十のプロトコルの相互運用性を支えるLayerZeroメッセージングレイヤーが偽の指示に対して脆弱であることが証明されました。この事件は、リキッドリステーキングプロトコルが複数のチェーンに拡大する際にブリッジセキュリティをどのように管理するかについて新たな疑問を提起しています。
アナリストは、最も現実的な回収経路はハッカーと10-15%の報奨金交渉を行い、盗まれた資金の大部分を返還させることだと提案しています。Kelp DAOは根本原因を調査するためにLayerZero、監査法人、セキュリティ企業と協力していると述べています。Aave創設者のStani Kulechovは、Aave自体のスマートコントラクトは侵害されていないことを確認しましたが、V3のrsETH市場は解決まで凍結されたままです。
これは進行中のニュースです。Kelp DAOは復旧作業が続く中、ユーザーに公式チャンネルのみでアップデートを確認するよう呼びかけています。
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
免責事項: ニュースコンテンツは情報提供のみを目的としており、金融アドバイスとはみなされません。市場状況は急速に変化する可能性があります。常にご自身でリサーチを行ってください。
