Kelp DAOの2億9200万ドルのハッキング事件は、暗号資産業界全体に波紋を広げ、開発者やトレーダーは、この事件が分散型金融(DeFi)の構築方法における深刻な欠陥を露呈したと警告しています。
市場参加者が共有したデータによると、直接的な影響はハッキングされたプロトコルをはるかに超えて広がりました。
「rsETHのハッキングは、Solanaやハッキングされていないプロトコルを含むすべてのレンディングプロトコルで出金を引き起こしている」と0xngmiは日曜日の投稿で述べ、「Aave:-62億ドル(-23%)の純流入」や、Morpho、Sky、JupLendでの小規模ながら注目すべき減少を指摘しました。rsETHは、流動性リステーキングプロトコルKelp DAOのリステーキングされたイーサであり、ユーザーがステーキングにロックされている間でも資産の流動性を保ちながら、イーサのステーキングとリステーキング報酬を獲得できるリキッドリステーキングトークン(LRT)です。
その圧力はすぐにより深刻な状況に変わりました。Josu San Martinによって広く拡散された投稿は、レンディング市場内での連鎖的な流動性ストレスを説明しています:「ETH入金者はETHを出金できないため、資金を『出金』するためにステーブルコインを借りている...これはAAVEへの完全な取り付け騒ぎだ。」
Aaveの創設者であるStani Kulechovは、ハッキングは外部からのもので、プロトコルのコントラクトは侵害されていないと述べましたが、入金者はパニックに陥りました。DefiLlamaによると、ロックされた総価値(または入金額)は、4月18日の264億ドルから日曜日の米国午前中には約200億ドルに減少しました。AAVEトークンも週末を通じて入金者が資金を出金しようと奔走する中、18%以上下落しました。
Aaveトークン価格(CoinDesk)「ケーススタディ」
このハッキング自体がエンジニアや開発者にとって注目の的となっています。
複数の開発者は、問題がコアインフラから発生したという初期の仮定に反論しました。「KelpDAOのハッキング(約2億9000万ドル)は、LayerZeroプロトコルのバグではありません。これは設定の問題であり、クロスチェーントークンを持つすべてのプロジェクトが今日見るべきケーススタディです」と、cryptogoblinによる技術的な分析は述べています。
そのスレッドは、単一の認証ポイントがどのように攻撃を可能にしたかを詳述しています。「1つの署名で116,500 rsETHがイーサリアム上に無から出現した」と投稿は述べ、「[スマート]コントラクトは壊れていなかった。認証レイヤーが壊れていた」と主張するシステムを説明しています。
他の人々は、問題は単一の設定選択よりも深いと主張しました。
X上でFishy Catfishと名乗る批評家は、これを設計上の欠陥として位置づけ、「セキュリティの最低限がない...設定は1/1 DVNにでき、選択したDVNは単一のエンティティが運営する単一のノードである可能性がある」と主張しました。分散型金融におけるDVN(分散型検証ネットワーク)、特にLayerZero V2内では、異なるブロックチェーンネットワーク間で送信されるメッセージの真正性を検証し証明する責任を持つ独立したエンティティです。本質的に、DVNはソースチェーンとデスティネーションチェーン間でメッセージハッシュを検証します。
ポイントをより明確にするために、著者は現実世界の比較を描きました:「ジェットコースターの製造業者が遊園地に個別に最低安全仕様を決定させることを許可したらどうなるか想像してみてください。」本質的に、著者は単に、ガードレールのない柔軟性が隠れたリスクを生み出す可能性があると言っているのです。
その投稿は、設定が設計内の問題であると主張するまでに至りました。「私は個人的にこれは欠陥のある設計だと思います。モジュラーセキュリティは価値のある設計空間ですが、セキュリティの範囲は非常に強力なネイティブセキュリティフロアを持ち、その上に高価値のユースケースのための*追加*のセキュリティレイヤーを許可すべきです。」
「DeFiは死んだ」
厳しくパニックに陥った批判を引き起こしたのは、ハッキングの規模と複雑さだけではありません。ハッキングの規模が懸念を高めています。
約116,500 rsETH、供給量の約18%が影響を受けました。攻撃者は、LayerZeroのクロスチェーンメッセージングレイヤーを騙して、別のネットワークから有効な指示が到着したと信じ込ませ、Kelpのブリッジが攻撃者制御のアドレスに116,500 rsETHをリリースするよう引き起こしました。
プロトコルは市場を凍結し、機能を停止することで対応しました。AaveはrsETHのアクティビティを停止しました。Lidoはこの資産に関連する入金を停止しました。他のプロジェクトも状況が展開するにつれてエクスポージャーを制限するために同様の措置を取りました。
技術的な議論を超えて、暗号資産全体のセンチメントは急激にネガティブに転じました。ある投稿は、おそらく気分の変化を率直な言葉で捉えています:「DeFiは死んだ...『ただaaveを使え』は死んだ」と述べ、「暗号資産の時代は終わった」と付け加え、「これを読んでいるなら、なぜまだ暗号資産にいるのか?」と問いかけています。
その反応は過剰反応のように聞こえるかもしれませんが、そのような「条件反射的な」反応は大規模なハッキング後には珍しくありませんが、このイベントの広がりは際立っています。
攻撃はクロスチェーンインフラストラクチャ、リステーキングモデル、レンディング市場を同時に影響を受けました。また、最近の一連の事件に続いています。このハッキングは、特に今月、分散型金融にとって異常に敵対的な期間に発生しています。SolanaベースのパーペチュアルプロトコルDriftは、4月1日に約2億8500万ドルが流出し、後に北朝鮮関連のアクターにリンクされた攻撃で、その後数週間で、CoW Swap、Zerion、Rhea Finance、Silo Financeを含む少なくとも十数の小規模プロトコルがハッキングされました。
「設定を確認せよ」
すべての説明にもかかわらず、まだ答えよりも質問の方が多いです。
LayerZeroでさえ、ハッキングの完全な詳細を把握しようとしています。「私たちはrsETHのハッキングを完全に認識しており、事件以来@KelpDAOチームと積極的に修復に取り組み、監視を続けています。他のすべてのアプリケーションは安全なままです」とX上の投稿で述べました。「@_SEAL_Orgや他の人々と一緒に根本原因を特定しています。すべての情報を入手次第、@KelpDAOと完全な事後分析を公開します。」
KelpDAOもこのセンチメントを反映しています。「本日早く、rsETHに関する疑わしいクロスチェーンアクティビティを特定しました。調査中、メインネットといくつかのL2でrsETHコントラクトを停止しました。@LayerZero_Core、@unichain、監査人、トップセキュリティ専門家とRCAに取り組んでいます。この状況について詳しく知るにつれて、お知らせします。」
それでも、一部の開発者は混乱の中により明確な教訓を見ています。
このハッキングは、暗号化を破ったり、スマートコントラクトをバイパスしたりすることに依存していませんでした。代わりに、レイヤー化された仮定に依存するとシステムがいかに脆弱になるかを露呈しました。
簡単に言えば、ツールは設計通りに機能しました。それらが設定された方法は機能しませんでした。
その区別が次に何が起こるかを形作るかもしれません。ビルダーは現在、特にクロスチェーンメッセージングに依存しているプロジェクトに対して、設定を見直すよう促しています。
cryptogoblinが率直に述べたように:「設定を確認してください。外では安全に。」
続きを読む:分散型金融の利回りは非常に暴落しており、従来の普通預金口座と競争できない
出典:https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
