Kelp DAOがLayerZeroからChainlinkへ移行、2億9200万ドル盗難の教訓

2億9200万ドル、単一の検証ノード、そして他のどのプロトコルも先に下したくなかった決断。2026年4月18日、攻撃者はLayerZero上でクロスチェーンメッセージを1件偽造することでKelp DAOのブリッジを空にし、116,500 rsETHを奪い去った。これはトークン総供給量の約18%に相当する。数週間後、本質的な動きが訪れた。KelpはrsETHをLayerZeroからChainlinkへ移行したのだ。これは内輪の技術的な話ではない。DeFiの大部分がチェーン間の結びつきを維持する仕組みそのものに関わる問題だ。攻撃の詳細については元の攻撃詳細レポートをご覧いただきたい。本稿では何が壊れ、何が変わったかを見ていく。

コードに触れずにブリッジを空にする方法

コントラクトにバグはなかった。問題は別の場所にあった。Kelpは分散型検証ネットワーク（DVN）を「1-of-1」設定で運用していた。つまり、他チェーンからの着信メッセージが正当かどうかを判断するのは、たった1つの検証ノードだった。その1つのノードを騙すだけで十分だった。Chainalysisの分析によると、攻撃者は北朝鮮のLazarusグループと関連しており、検証者のRPCリストにアクセスして2つのノードを侵害し、稼働中のバイナリを置き換えた。同時にDDoS攻撃で外部ノードを沈黙させた。結果として、EthereumのKelpアダプターは、一度も実行されていない「バーン」に対してリアルrsETHを放出し、すべてのトランザクションはオンチェーン上では完全に正当に見えた。

Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.

We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.

We will keep you…

，Kelp (@KelpDAO) April 18, 2026

さらに1億ドルを超える偽造メッセージが2件、緊急マルチシグが一時停止ボタンを押せるようになるまでの46分間に通過していた。2026年における北朝鮮関与の攻撃の拡大については、専門の調査記事で詳しく取り上げている。

なぜKelp単独の問題ではなかったのか

ここに不都合な真実がある。Kelpは、シングル検証設定は軽率な近道ではなく、LayerZeroのガイドラインで文書化されたデフォルト設定だったと主張した。LayerZeroはその選択はアプリケーションレベルの問題であり、自社のバグバウンティの対象外だと反論した。しかし、注目すべき数字がある。攻撃当時、LayerZeroのアクティブなアプリケーションの約半数が同じスキームで稼働していた。単一の障害点が至るところに複製され、それが当たり前とされていた。エクスプロイト後、LayerZeroは1-of-1設定を禁止し、マルチ検証スキームへの移行を義務付けた。これは、リスクが孤立した事故ではなくアーキテクチャ上の問題だったことを示している。

資金はどこへ行き、Kelpは何をしたか

実は、業界の対応は、いかなる規制当局よりも迅速だった。攻撃から5日後、調整された回収ファンド「DeFi United」が立ち上がった。AaveのファウンダーであるStani Kulechovが自ら5,000 ETHを拠出し、LidoとEtherFiも資金を追加した。同ファンドは合計3億2795万ドルを集めた。これは損失を補填するために必要な額の約4倍にあたり、rsETHの95%超の回収を可能にした。技術面では、Kelpはコードを切り替えた。rsETHはLayerZeroのOFT標準からChainlink（CCIP）のクロスチェーン相互運用プロトコルへ移行した。CCIPは1つではなく複数のノードでメッセージを検証する。攻撃の完全な技術的詳細はChainalysisのレポートに記載されている。

Inside the KelpDAO Bridge Exploit

Here's what we know about the KelpDAO Exploit, what the on-chain evidence shows, and why this class of exploit requires a different kind of monitoring.

ChainalysisChainalysis Team

欧州とMiCAはどう関係するか

実は、深く関係している。2026年5月2日、欧州中央銀行（ECB）はKelpのエクスプロイトを、2026年MiCA見直しの中でDeFi資産に対するプルーデンシャル監督を求める論拠として明示的に引用した。ECBのクリスティーヌ・ラガルド総裁は「システム的安定性」について語ったが、今回は具体的な数字が裏付けとしてあった。2億9200万ドルの損失、その後数時間でAave上に50億ドルを超える取り付けが発生し、価格急落直前に担保として預けられた盗難rsETHが生み出した数億ドルの不良債務だ。

フランクフルトでDeFi規制強化の口実を探していた当局者にとって、Kelpはその根拠を差し出した形となった。資本、コンポーザビリティ、システミックリスクを結びつける糸は、DeFi 2026の投資テーゼで引いていた線と同じだ。実務的な教訓は明快だ。あるプロトコルのトークンが別のプロトコルで即座に担保になる構造では、最も脆弱な点は決して長期間孤立したままにならない。FSA（金融庁）はまだDeFiブリッジの直接的な監督指針を出していないが、ECBの動きは日本の規制当局にとっても先行事例となる可能性が高い。日本の投資家がrsETHやLSTベースのプロトコルを利用する際には、クロスチェーンブリッジの検証設定がどのような構造になっているかを確認することが、今後の標準的なリスク評価基準となるだろう。