2億9,300万ドル規模のKelpDAOハッキング事件：インフラの脆弱性とシステムの複雑さがもたらしたDeFiの新たなセキュリティ局面

2026年4月18日、分散型金融（DeFi）セクターは、KelpDAOから2億9,300万ドルが流出するという、かつてないほど巧妙な攻撃を受けた。過去のコードレベルのバグとは異なり、今回の攻撃はエコシステムの基盤であるインフラを直接標的にし、内部ノードを侵害して設定の不備を悪用したという点で、その深刻さを増している。

事件発生から約1ヶ月が経過した2026年5月16日現在、業界は実験的な金融の時代が終わり、高度なセキュリティ基準が要求される新たな制度的現実に直面している。今回の事態は、DeFiが単なる「コードの集合体」を超え、複雑な相互接続性を管理しなければならない成熟期に入ったことを示唆する決定的な契機となった。

攻撃者はrsETHアダプターに偽造されたLayerZeroパケットを送信する手法で、単一のトランザクションにおいて116,500 rsETHを奪取することに成功した。KelpDAO側はさらなる攻撃を防ぐために直ちにコントラクトを一時停止したが、初期の資産流出はすでに完了した状態だった。今回の事件は2026年に発生したDeFiハッキングの中で最大規模として記録され、市場に大きな衝撃を与えた。

「今回の事件は、単なるコントラクトレベルの防御を超えて、統合されたプロトコル間で攻撃がいかに迅速に拡散し得るかを示す事例である。」 - Deddy Lavid、Cyvers CEO

今回のハッキングは、スマートコントラクト自体の脆弱性ではなく、オフチェーンインフラの失敗に起因している。攻撃者は通信ノードを「汚染」させることで、システムが偽造されたメッセージを信頼するように誘導した。特に、分散型バリデータネットワーク（DVN）が単一のバリデータノードのみで運用される「1-of-1」設定であったことが、致命的な単一障害点（SPOF）として作用した。

ラザルス・グループの関与と高度なマルウェアの脅威

Chainalysis（チェイナリシス）などのセキュリティ専門家は、今回の攻撃の背後に北朝鮮のラザルス・グループ（Lazarus Group）がいると指摘した。彼らは、感染したRPCノードで任務を遂行した後に自己削除されるよう設計された高度なマルウェアを使用し、事後のフォレンジック調査を極めて困難にするという緻密さを見せた。

• 内部RPCノードの侵害を通じたデータセットの操作および汚染
• 外部ノードに対する分散サービス拒否（DDoS）攻撃による検証プロセスの妨害
• バリデーターの承認を誘導するための偽造されたクロスチェーンメッセージの挿入

KelpDAOの資産流出は即座に市場の連鎖反応を引き起こし、わずか2日間でDeFi全体のTVLから132億1,000万ドルが消失する結果を招いた。特に最大級のレンディングプラットフォームであるAave（エイブ）は、汚染されたrsETH担保に対する懸念から、預かり資産が264億ドルから180億ドルへと急減するなど、甚大な打撃を受けた。

今やDeFiセキュリティの最前線は、単純なコーディングバグからシステム的な複雑さとの戦いへと移行している。互いに絡み合うクロスチェーンプロトコルとリステーキング構造は、単一のポイントで発生したエラーが生態系全体の流動性を脅かす巨大なリスク要因となっており、これはより堅牢なセキュリティアーキテクチャの必要性を強調している。

2026年現在施行されている欧州連合の暗号資産市場法（MiCA）は、このような大規模なハッキング事案において、資産の回収と責任の所在を究明するための法的枠組みを提供している。強化された規制環境は、プロトコルが機関投資家レベルのセキュリティ標準とコンプライアンスを採用することを強制し、エコシステムが長期的に生存するための体質改善を促している。

今後の市場の安定化は、KelpDAOが発表する最終的な技術フォレンジック報告書と、Aaveの不良債権解決プロセスにかかっている。今回の2億9,300万ドル規模の損失は、DeFiが真の金融インフラへと生まれ変わるために必ず乗り越えなければならないセキュリティと信頼のハードルを再認識させる、過酷な通過儀礼として記録される見通しだ。