Kelp DAO 2.92億ドル被害: LayerZeroの欠陥とDeFiへの衝撃

予告もなかった。警告もなかった。2026年4月18日03:41 UTC、116,500 rsETHが異常移動した。2026年最大のDeFi攻撃は爆発的に始まったわけではない。通常のトランザクションに見せかけた単一の操作から幕を開けた。

出所: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 2026年4月18日～20日

AaveのオラクルはどのようにDeFiの被害を拡大させたか

実際には、LayerZeroブリッジによる直接被害は2億9,200万ドルだった。Aaveを通じた連鎖的被害は、それを構造的に別次元の問題へと押し上げた。

攻撃者は89,567 rsETHをAaveに担保として預け入れた。核心的な問題は、Aaveの価格オラクルが預け入れ資産の出所を検証しない点にある。オラクルは預け入れ時点の市場価格のみを参照する。03:41 UTC時点では、rsETHはエクスプロイト前の価格を維持していた。攻撃者は間もなく急落する担保を使い。1億9,086万ドル相当のWrapped Etherを借り出した。AaveがrsETH市場を凍結した時点で。実際のEther 1億9,000万ドルはすでにプロトコル外に流出していた。

CoinDeskの報道によると、その後48時間でAaveの総預け入れ額は263億5,000万ドルから179億ドルへと84億5,000万ドル減少した。DeFiエコシステム全体からは130億ドル以上が流出した。Aave創設者のStani Kulechovはポスト on Xで、Aaveのコントラクト自体は侵害されていないと明言した。問題は担保として受け入れた資産にあった。技術的には重要な区別だったが、資金流出を止めることはできなかった。

同種の攻撃ベクターに脆弱だったのはKelp DAOだけではない。Drift Protocolは2026年3月にSolana上で2億8,600万ドル規模の攻撃を受け、Ellipticの分析では北朝鮮関連グループの関与が疑われた。別々の事件、異なる攻撃ベクター、しかし間隔はわずか1週間だった。CoinDesk集計によると、2026年4月20日時点で2026年のDeFi被害総額はすでに7億7,500万ドルを超えていた。

機関投資家向けDeFiに何が変わるか

CoinDeskによると、Apollo Global ManagementとBlackRockはエクスプロイト後もオンチェーン金融への拡張計画を変更していない。機関投資家の立場は現実的だ。問題はDeFiそのものではなく、現在の防御水準にある。2026年5月2日のCoinDeskへのコメントで、あるアナリストは「DeFiスタックのすべてのレイヤーがセキュリティを最優先にしなければならない」と述べた。「特定の攻撃ベクターをはるかに高速に構築できるAI時代には、なおさらだ」とも付け加えた。

PeckShieldは攻撃直後から奪われた資金がTornado Cashに関連するアドレスへ移動する動きを追跡した。2026年4月18日08:00 UTC時点で、1億8,000万ドルはすでにミキシング段階に入っていた。資金回収の可能性は事実上ゼロに近い。

今後数週間で注目すべき動きは三つある。主要プロトコルの価格オラクルに対するマルチソース検証要件をめぐる議論、Kelp DAOによる被害ユーザー補償ファンドの提案、そして欧州中央銀行(ECB)の対応だ。ECBは2026年5月2日、このエクスプロイトをMiCA 2026見直しの文脈におけるDeFi資産のプルーデンシャル監督強化の追加根拠として明示的に言及した。Christine Lagarde総裁はシステミック安定性に言及した。今回は実際の数字を背景に持つ発言だった。金融庁(FSA)およびJVCEA(日本暗号資産取引業協会)も、国内取引所におけるrsETH担保関連ポリシーの点検に動く可能性がある。日本のbitFlyer、Coincheck、SBI VCトレードなど主要取引所のリキッドステーキングトークン対応方針が、今後の規制議論の焦点になりうる。