概要について 2026年4月18日、分散型金融はこれまでで最も高額な時間を過ごしました。攻撃者がKelp DAOのLayerZeroを利用したクロスチェーンブリッジを悪用し、約2億9300万ドル相当の116,500 rsETHを流出させ、トークンの流通供給量の約18%を占めました。盗まれたトークンはすぐにAave V 3およびV 4の担保として展開され、攻撃者は誰も止める前に2億3600万ドル以上概要について 2026年4月18日、分散型金融はこれまでで最も高額な時間を過ごしました。攻撃者がKelp DAOのLayerZeroを利用したクロスチェーンブリッジを悪用し、約2億9300万ドル相当の116,500 rsETHを流出させ、トークンの流通供給量の約18%を占めました。盗まれたトークンはすぐにAave V 3およびV 4の担保として展開され、攻撃者は誰も止める前に2億3600万ドル以上
概要について
2026年4月18日、分散型金融はこれまでで最も高額な時間を過ごしました。攻撃者がKelp DAOのLayerZeroを利用したクロスチェーンブリッジを悪用し、約2億9300万ドル相当の116,500 rsETHを流出させ、トークンの流通供給量の約18%を占めました。盗まれたトークンはすぐにAave V 3およびV 4の担保として展開され、攻撃者は誰も止める前に2億3600万ドル以上の実際のラップされたETHを借りることができました。この事件は、2026年の最大の単一のDeFiエクスプロイトであり、エコシステム価格がコンポーザブルプロトコル全体でどのように信頼されるかに根本的な欠陥があることを明らかにしました。これは、貸出市場、ブリッジアーキテクト、および再ステーキング支持者が数か月間取り組むことになる問題です。
主なポイント
盗まれた総額:約2億9300万ドル(116,500 rsETH)、rsETHの流通供給量の約18%
攻撃ベクトル: LayerZeroのクロスチェーンメッセージングレイヤーにおけるDVN構成の脆弱性(1-of-1 DVNセットアップ+侵害されたバリデータノード)
影響を受けるプロトコル: Aave V 3/V 4、Compound V 3、Euler、SparkLend、Fluid、Lido earnETH、その他少なくとも9つ
不良債権:約1億9600万ドル; WETHプールは一時的に100%の利用率に達しました
市場への影響: AAVEトークンは24時間で約20%減少し、Aave TVLは約66億ドル減少しました。
資金回収:攻撃者はTornado Cashを介して資金を洗浄しました-回復は不可能です
2026年のDeFi累積損失:約45のプロトコルで4億5000万ドルから4億8200万ドルの間
何が起こったのか: DeFiを震撼させた46分間の強盗
攻撃タイムライン
2026年4月18日の17: 35 UTCに、約10時間前にTornado Cashを介して事前に資金提供されたウォレットを持つ攻撃者が、Kelp DAOのLayerZeroパワードクロスチェーンブリッジに注意深く作成された偽造メッセージを送信しました。
TheDefiantによると、ブリッジはこの捏造された命令を正当なものとして扱い、攻撃者が制御するアドレスに116,500 rsETHをリリースしました。これにより、実際のETHがソースチェーンにロックされることはありませんでした。これらのトークンは、実際の資産によって完全に裏付けられていない薄い空気から効果的に呼び出されました。
盗まれたトークンを市場に投棄するよりも、攻撃者は正確に行動しました。担保として未担保のrsETHをAave V 3に預け、大量の本物のラップされたエーテル(WETH)を借り、その後Aave V 4でまったく同じ操作を繰り返しました。Kelpの緊急マルチシグがプロトコルのコア契約を凍結することに成功した46分後の18: 21 UTCまでに、実際の資産はすでになくなっていました。18:26と18:28 UTCの2回のフォローアップ試み-それぞれ約1億ドル相当の別の40,000 rsETHを排出しようとしました-両方とも一時停止に戻りましたが、最初の攻撃からの被害はすでにDeFi全体に広がっていました。
それはコードバグではなく、設定の選択でした
WEEXの詳細な分析により、直感に反することが明らかになりました: Kelp DAOのスマートコントラクトコードには脆弱性が含まれていませんでした。セキュリティ研究者@0 xQuitはXで述べたところによると、根本原因は「1-of-1 DVN構成とDVNノード自体の侵害の組み合わせ」でした。言い換えると、クロスチェーンメッセージングシステムは単一のバリデーターノードに依存しており、そのノードはハッキングされたか、欺かれたものでした。
カーブファイナンスの創設者であるマイケル・エゴロフは、率直に教訓を要約しました。「誰であれ、一つの当事者を信頼すると何かが起こる可能性があります。」
LayerZeroプロトコルはこの構成を禁止しておらず、Kelp DAOはプロトコルルールに違反していませんでした。コーディングエラーではなく、準拠した構成選択が2026年の最大のDeFi損失を引き起こしました。
伝染病: 293 Mドルが体系的な危機になった経緯
タイトル: How Aave Got Trapped
攻撃者は盗まれたrsETHをAave V 3(EthereumおよびArbitrum)、Compound V 3、およびEulerに担保として配布し、WETHとETHの合計で2億3600万ドル以上を借りました。CoinDeskによると、Aaveだけでも、Ethereum上の支配的なrsETH-to-WETH担保ペアに集中した約1億9600万ドルの不良債権を抱えることになりました。
その仕組みは単純さにおいて残酷でした。Kelp DAOがrsETH契約を一時停止すると、rsETHで裏付けられたすべての借入ポジションを有意義な方法で清算することが不可能になりました。Aaveは無価値な担保の山を抱えることになり、実際の流動資産はすでにドアを出ていきました。
Aaveの創設者であるスタニ・クレチョフは、Aave自身のスマートコントラクトが悪用されていないことを確認し、事件が完全にrsETH資産自体から発生したことを確認しました。しかし、Bitcoin.comNewsが報じたように、この保証は市場を落ち着かせるのにほとんど役立ちませんでした。AaveのWETHプールの利用率は100%に急増し、一時的にサプライヤーが自分たちの資産を引き出すことを阻止しました。
銀行ランのダイナミクスと66億ドルのTVLの消滅
ブルームバーグの報道によると、その後のパニックは数時間でAaveから54億ドル以上の引き出しを引き起こしました。TVLは260億ドル以上から約220億ドルに急落し、1日で約66億ドルの損失を出しました。AAVEトークンは24時間で最大20%下落しました。
アーヴェの最初の声明は、「アンブレラ」安全モジュールの予備が赤字を吸収できると示唆していました。土曜日の午後までに、その言葉は「赤字を相るための道を探る」と軟化し、不安を鎮めるどころか増幅させる修辞的な後退となりました。
クロスプロトコル感染:少なくとも9つのプラットフォームが影響を受けました
フォールアウトはすぐに外側に放射されました。Crypto Briefingによると、この事件は少なくとも9つの追加プラットフォームに広がりました
SparkLend: rsETH市場を凍結し、直接的な露出はゼロと報告し、保守的なリスク姿勢を評価しました
流体:並行して中断されたrsETH市場
Lido Finance:コアステーキングプロトコルとst ETHが全く影響を受けなかったことを明確にしながら、arnETH製品(rsETHの露出を保持する)への預金を一時停止しました。
Ethena: rsETHの露出がなく、101%以上の担保を維持しているにもかかわらず、予防措置としてEthereumメインネットからのLayerZero OFTブリッジを一時的に一時停止しました
20+チェーン上のrsETH: Kelpがクリーンリザーブ調整を発表するまで、不確実なバッキングの状態が続く
CyversのCEOであるDeddy Lavidはその瞬間を捉えました。「課題は、契約レベルでのエクスプロイトの防止だけでなく、統合プロトコルを横断してどれだけ速くカスケードできるかを理解することです。」
お金がどこに行ったのか-そしてなぜ回復が暗いのか
TheStreetの報道によると、攻撃者は迅速にTornado Cashを通じて収益を洗浄し、盗まれた資産の大部分を複数のウォレットに分散されたETHに変換しました。チェーン上の調査官であるZachXBTは、Telegram上で攻撃者に関連する6つのウォレットを特定し、すべてが侵害の数時間前にTornado Cashを通じて事前に資金提供されました。
トロンの創設者であるジャスティン・サンは、攻撃者と「会話をする」と公言しましたが、すでにプライバシーミキサーを通じて資金が流れており、トレイルが冷え込んでいるため、この提案は現実的な是正措置よりも演劇的なものとなっています。LayerZeroは現在、セキュリティ緊急対応組織SEAL Orgと共同調査を行っており、完全な情報が入手でき次第、Kelp DAOと協力して事後調査を公表する予定です。
DeFiのBrutal 2026:ランニング・カジュアルティ・リスト
Kelp DAOの2億9300万ドルの損失は孤立して存在しません。Defiantの分析によると、約45のプロトコルで2026年の累積DeFi損失は4億5000万ドルから4億8200万ドルの間になります。
2026年のDeFiハックのタイムライン:
2026年3月: Resolv Labs-約8000万ドル
2026年4月1日:ドリフトプロトコル-約2億8500万ドル(後に北朝鮮関連の俳優にリンク)
4月上旬: CoW Swap、Zerion、Rhea Finance、Silo Finance、および少なくとも12の小規模なプロトコル
2026年4月18日: Kelp DAO-2026年最大のDeFiエクスプロイトである約2億9300万ドル
EGWNewsが指摘したように、わずか3週間でDeFiの損失総額は10億ドルを超え、2026年はDeFiセキュリティ史上最悪の年になる可能性があります。
これが業界にとって意味すること
「ブルーチップ担保」という仮定が崩れた
Kelp DAOエクスプロイトの最も深い教訓は技術的なものではなく、哲学的なものです。rsETHは、Aave、Compound、Eulerの信頼できるETH関連の担保資産としての地位を獲得していました。暗黙の前提は、発行プロトコルが信頼できる限り、流動性のある再ステーキングトークンが基礎となるETH自体と同じくらい安全であるということでした。
CoinDeskの深い分析は、CurveのEgorovを引用しています。「Aaveは、本当に売ることができないrsETHと最大限に借りたETHを残されたため、誰もETHを引き出すことができません。」これはDeFiの合成可能性の最も暗い特徴です。トークンが本当のバックアップを失うと、感染は即座に起こります。ガバナンス投票、委員会のレビュー、待機期間はありません。
クロスチェーンブリッジは決算に直面
TheDefiantが警告したように、Kelpのブリッジで利用される経路はKelp DAOに限ったものではありません。シングルバリデーターLayerZero構成を使用するプロトコルは、構造的に類似したリスクに直面します。業界は、ブリッジに対する必須のマルチDVN要件、貸し出しプロトコルに対するより厳格な担保オンボーディング基準、および既存のLayerZero統合の包括的な監査に対応することが期待されています。
Ledgerのセキュリティ責任者はCoinDeskに対し、2026年は「ハッキングが最も多い年になる可能性が高い」と語り、DeFiへの信頼が積極的に「侵食されている」と述べました。
DeFiセキュリティイベントや暗号市場の機会に関するリアルタイムのアラートをお探しですか?
これが投資家にとって意味すること
rsETHを保有している場合、またはAaveのようなDeFi融資プロトコルのポジションを持っている場合、注意すべきことは次のとおりです:
1.「安全な」プラットフォームでも、流動性リスクは現実的です。
プロトコルTVLクレーターとレンディングプールが100%の利用率に達すると、攻撃された資産に露出していないユーザーでも、引き出しが一時的にブロックされる可能性があります。
2.クロスチェーン資産のバックアップは永久に保証されません
20以上のチェーン上のrsETHは、Kelp DAOが検証済みの準備調整を公表するまで、不確実なバッキング状態にあります。wrsETHを担保として受け入れるプロトコルは、その会計が公開されるまで露出を保持します。
3. DeFiのコンポーザビリティは両方向にカットできます。
DeFiを強力にする同じ相互接続性は、感染のための最速の可能なチャネルにもなります。1つのプロトコルの脆弱性は、数分でシステム的なイベントになる可能性があります。
4.規制された安全なプラットフォーム上のコア保有を管理することが重要です
DeFiセキュリティインシデントがエスカレートする環境では、MEXCのようなコンプライアンスに準拠したセキュリティ監査済みの集中型プラットフォームでコア暗号ポジションを維持することは、スマートコントラクトのリスク暴露を減らすための1つの効果的な方法です。
よくある質問(FAQ)
Q 1: Kelp DAOのrsETHブリッジはどのように悪用されましたか?
攻撃者は、KelpのLayerZeroベースのクロスチェーンブリッジで「1-of-1 DVN構成」を悪用しました。つまり、クロスチェーンメッセージを検証する責任があるのは1つのバリデータノードだけでした。攻撃者は、そのノードを危険にさらすか欺くことで、別のチェーンに資産がロックされていると主張する偽造メッセージを送信し、ブリッジをだまして攻撃者が制御するウォレットに116,500 rsETHをリリースさせましたが、実際のETHはソースチェーンにロックされていませんでした。
Q 2: Aaveはどれくらいの不良債権を抱えていますか?また、ユーザーの資金は影響を受けますか?
約1億9600万ドルの不良債権が、AaveのrsETH-WETH貸出ペアに集中していると推定されています。Aaveのアンブレラ安全モジュールは損失の一部をカバーすることが期待されていますが、カバー率は30%未満で、残りはaWETHステーカーにかかる可能性があります。Aave自身の契約は悪用されませんでしたが、100%のWETHプールの利用率が一時的に一部のユーザーが資金を引き出すことを阻止しました。
Q 3: 2億9300万ドルは回収できますか?
ほぼ確実にそうではありません。攻撃者はすでにTornado Cashを介して資金をルーティングし、盗まれた資産のほとんどを複数のウォレットに分散されたETHに変換しています。LayerZeroとSEAL Orgは共同調査を行っていますが、回復メカニズムは発表されていません。
Q 4: rsETH保有者は今何をすべきですか?
Kelp DAOの公式発表を注意深く監視してください。Kelpがすべてのチェーンで未払いのrsETH供給に対する準備金の検証済みの調整を公表するまで、レイヤー2ネットワーク上のrsETHのバッキングステータスは不明のままです。不完全な情報に対するパニックによる決定を避けてください。
Q 5:これはLayerZero自体にシステム上の脆弱性があることを意味しますか?
エクスプロイトは、LayerZeroのコアプロトコルコードのバグによるものではありませんでした。根本原因は、Kelp DAOが高度に中央集権化された1-of-1 DVN構成を使用することを選択したことであり、LayerZeroは許可していますが、危険な単一障害点を作成します。同様の構成を使用する他のプロトコルも同様のリスクに直面しており、すぐにセットアップを監査する必要があります。
Q 6: 2026年に発生した他の主要なDeFiハックは何ですか?
2026年はDeFiセキュリティにとって非常に厳しい年でした。Resolv Labsは3月に約8000万ドル、Drift Protocolは4月1日に約2億8500万ドルの損失を出しました(後に北朝鮮の脅威行為者に関連付けられました);CoW Swap、Zerion、Rhea Finance、Silo Finance、および12以上の小規模なプロトコルが4月初旬に枯渇しました。4月18日のKelp DAOエクスプロイトにより、2026年の累積DeFi損失は4.5億ドルを超えます。
Q 7: Ethereumの再ステーキングとEigenLayerにとって、これはどういう意味ですか?
事件は、EigenLayerエコシステム全体にわたる貸出担保としての液体再ステーキングトークン(LRT)の再度の監視を引き起こすことになります。貸出プロトコルは、再ステーキング資産のリスクパラメータを大幅に引き締めることが予想され、これにより収益が圧縮され、EigenLayer参加者のTVLが業界全体で減少する可能性があります。
免責事項
この記事は、情報提供のためにMEXC Crypto Pulse Teamによって作成されたものであり、投資アドバイスや金融推奨を構成するものではありません。暗号通貨市場は非常に不安定です。DeFiプロトコルには、スマートコントラクトの脆弱性、流動性リスク、クロスチェーンブリッジのセキュリティリスクなど、複数のリスクレイヤーがあります。読者は、投資判断をする前に、自己のデューデリジェンスを実施し、資格のある金融アドバイザーに相談する必要があります。この記事で引用されているイベントデータ、損失額、およびプロトコルステータスは、執筆時点で公開されている情報を反映しています;調査が進むにつれて最終的な数字は変更される可能性があります。MEXCは、ここに記載された情報の正確性または完全性に関して、明示的または黙示的な保証を行いません。
著者について
MEXCCrypto Pulseチームは、世界をリードするデジタルアセット取引プラットフォームの1つであるMEXCの社内調査およびコンテンツユニットです。チームは、暗号市場分析、DeFiプロトコル調査、ブロックチェーンセキュリティレポート、Web 3インフラストラクチャカバレッジを専門としています。MEXCは、数千のデジタルアセットペアでスポット取引、先物、ETF商品などを提供し、グローバルに1000万人以上のユーザーにサービスを提供しています。
ソース
2026年最大の暗号通貨エクスプロイト:ラップされたエーテルを20のチェーンにストランドしたKelp DAOが2億9200万ドルでヒット-CoinDesk、2026年4月18日
AaveがDeFi貸し手の構造的リスクを露呈する昆布ハックにより、60億ドルのTVLドロップを記録-CoinDesk、2026年4月19日
2億9200万ドルの昆布エクスプロイト:その経緯とDeFiにとっての意味-CoinDesk、2026年4月19日
Kelp DAOはBridge Exploitで2億9300万ドルを失い、Aaveは2億ドル以上の不良債権を抱えることになりました-The Defiant、2026年4月19日
主要なDeFiハックが2026年最大になる-TheStreet、2026年4月19日
昆布DAOは、rsETH準備金を排出する$292 Mブリッジハックによってヒットし、Aaveは影響を受けた市場を凍結します-Crypto Briefing、4月19、2026
Kelp DAO$293 Million Hack-2026年最大のDeFi盗難-PYMNTS、2026年4月20日
価値$290百万ドルの暗号ハックがDeFi感染ショックを引き起こす-ブルームバーグ、4月19、2026
DeFiの貸し手Aaveは、KelpDAO rsETHの悪用後に引き出し危機と戦う-Bitcoin.comニュース、2026年4月19日
コードにはなかった2億9300万ドルのバグ: 2026年最大のハックにつながったDVN構成バグ-WEEX、2026年4月20日
Kelp DAOが2億9300万ドルでハッキングされました: rsETH Exploit Triggers Aave 20%Crash&$5.4 B Panic Withdrawals-EGW News、2026年4月19日
昆布DAOハック: rsETHブリッジから2億9200万ドルが流出-SpazioCrypto、2026年4月18日
ケルプDAO橋がrsETHで2億9200万ドルを流出-バンクレス、2026年4月19日
MEXCの最新のアップデートに最速でアクセスしたいですか?今すぐ公式Telegramグループに参加してください!
アカウント確認:KYCを理解する|KYCを完了する方法
市場の機会
DAO Maker価格(DAO)
$0.04588
$0.04588$0.04588
USD
DAO Maker (DAO) ライブ価格チャート
説明:暗号資産パルスは、AIと公開情報源を活用し、最新のトークントレンドを瞬時にお届けします。専門家の洞察と詳細な分析については、MEXC 学ぶ をご覧ください。
このページに掲載されている記事は、公開プラットフォームから引用したものであり、情報提供のみを目的としています。MEXCの見解を必ずしも反映するものではありません。すべての権利は原著者に帰属します。コンテンツが第三者の権利を侵害していると思われる場合は、service@support.mexc.com までご連絡ください。速やかに削除いたします。
MEXCは、いかなるコンテンツの正確性、完全性、または適時性についても保証するものではなく、提供された情報に基づいて行われたいかなる行動についても責任を負いません。本コンテンツは、財務、法律、またはその他の専門的なアドバイスを構成するものではなく、MEXCによる推奨または支持と解釈されるべきではありません。
DAO Maker の最新情報
もっと見る
FATFがT3 FCUのブロックチェーンネットワーク上の不正活動対策における役割を認識
2026/1/8、スイス・ジュネーブ — ブロックチェーン技術を通じてインターネットの分散化を加速することに専念する、コミュニティ主導の分散型自律組織(DAO)であるTRON DAO
2026/01/08
Arbitrum Vaultエクスプロイトにより336,000 USDCの損失が発生
BitcoinEthereumNews.comに、Arbitrum Vault悪用により336,000ドルのUSDC損失が発生した記事が掲載されました。重要ポイント:古いArbitrum Vaultが悪用され、336,000ドルの
2026/01/09
CoinbaseによるDeribitでのTRXオプション開始、TRONエコシステムへの機関投資家のアクセス拡大
2026/1/14 スイス、ジュネーブ — ブロックチェーン技術を通じてインターネットの分散化を加速させることに特化したコミュニティ主導の分散型自律組織(DAO)であるTRON DAO
2026/01/14
ホット
現在、市場で大きな注目を集めているトレンドの暗号資産
暗号資産価格
取引高が最も多い暗号資産