ラザルスグループがKelpDAOを攻撃——LayerZeroとKelpDAO、2億9200万ドルのハッキングで責任の応酬

2026年DeFi史上最大の責任論争が4月20日に幕を開けた。LayerZeroがKelpDAOへの2億9,200万ドル規模のハッキングに関する公式ポストモーテムを公開し、その主犯としてラザルスグループ(Lazarus Group)、具体的には下部組織TraderTraitorを名指しした。2025年にBybitで14億ドルを奪った北朝鮮系サイバー集団と同一組織だ。しかしLayerZeroは技術的責任をKelpDAOに転嫁し、KelpDAOは数時間後に真っ向から反論した。FSA(金融庁)やJVCEA(日本暗号資産取引業協会)が監視を強化する中、本件は国内外の取引所にも無縁ではない。

KelpDAO Incident Statement

On April 18, 2026, KelpDAO was exploited for approximately $290M. Preliminary indicators suggest attribution to a highly-sophisticated state actor, likely DPRK's Lazarus Group, more specifically TraderTraitor.

LayerZeroLayerZero

ラザルス、18日間で2度の大規模攻撃

被害総額は凄まじい。4月1日にSolana上のDrift Protocolから2億8,500万ドル、4月18日にEthereum上のKelp DAOから2億9,200万ドル。同一の北朝鮮系組織が3週間も経たないうちに、まったく異なる攻撃手法で計5億7,500万ドル超を詐取した。Ellipticの集計では、TraderTraitorは2026年初頭から18件の攻撃を実行しており、DeFiにおける最大の脅威主体として確認されている。

• Drift：Security Councilのマルチシグ署名者へのソーシャルエンジニアリング。専用CVTトークンを悪用
• Kelp：LayerZeroのRPCノード2台を侵害し、バックアップへのDDoSでフェイルオーバーを強制誘導
• TraderTraitorはElliptic調べで2026年初頭から18件の攻撃を実行、DeFi最大の脅威主体と認定

Driftハッキングの詳細は、暗号資産史上最悪の一週間に関するレポートで確認できる。

LayerZeroとKelpDAO：本当の責任はどこに

論争の核心は1/1 DVN（分散型バリデーターネットワーク）設定にある。単一の検証者がクロスチェーンメッセージを承認する構成で、冗長性はゼロだ。LayerZeroはKelpに対してマルチDVN設定を繰り返し推奨したと主張する。KelpDAOは、その1/1設定はLayerZeroの公式GitHubのデフォルト値であり、インフラ上のプロトコルの40%が同様に使用していると反論した。

Preliminary indicators suggest attribution to Lazarus Group, more specifically TraderTraitor — LayerZero

We're fully aware of the rsETH exploit and have been in active remediation with the @KelpDAO team since the incident and continue to monitor. All other applications remain safe.

We are still identifying the root cause alongside @_SEAL_Org and others. We will publish a complete…

— LayerZero (@LayerZero_Core) April 19, 2026

ChainlinkのコミュニティリエゾンZach RynesがXで最初に反応した。LayerZeroは自社DVNインフラが侵害された責任をKelpに押し付けていると指摘。続いてYearn FinanceのbantegがLayerZeroの公開デプロイメントを技術的に精査し、この見解を裏付けた。LayerZeroのリファレンス設定はEthereum、BSC、Polygon、Arbitrum、Optimismでデフォルトとしてシングルソース検証を採用している。

LayerZeroアプリの47%が依然として脆弱

本日公開されたDune Analyticsのデータが最大の衝撃をもたらした。過去90日間に活動した2,665のOAppのうち、47%が1-of-1のセキュリティレベルで稼働している。LayerZeroは1/1設定のすべてのアプリに対してメッセージ署名を停止すると発表。今後数週間で数百プロジェクトの強制マイグレーションが実施される。bitFlyerやCoincheckなどを経由してDeFiプロトコルに資産をブリッジしているユーザーは、接続先プロトコルのDVN設定を確認すべきだ。

• DeFi TVL：48時間で995億ドルから863億ドルへ急落（-132億ドル）
• Aave：84億5,000万ドルの預金が流出、ETH/USDT/USDCの稼働率が100%に到達
• 影響を受けたトークン：AAVE -22%、ZRO -22%、LDO -19%、ENA -13%、COMP -10%

DeFiエコシステム全体が問われていること

LayerZeroブリッジの47%が依然として同じ脆弱な設定で動作しているなら、クロスチェーンDeFiが単一障害点を真剣に見直すまでに、あと何件の2億9,200万ドル規模の損失が必要なのか。コンポーザビリティはDeFiの最大の強みだが、RPC、DVN、マルチシグのどこか一箇所が崩れれば、接続されたすべてのプロトコルがドミノ倒しになる。このリスク環境で資産を守るための具体的な手順は、Web3ガイドを参照してほしい。