[ND MAGAZINE] LayerZero、2億9,200万ドル規模のKelp DAOハッキング対応の失策を公式謝罪…単一検証者の設定ミスを認める

2026年5月9日、LayerZero Labsは、2億9,200万ドル規模のKelp DAOハッキング事件への対応過程における過失を認め、公式謝罪文を発表した。これは、事件初期にアプリケーションの設定ミスに責任を転嫁していた防御的な姿勢から完全に転換したもので、単一検証者（single-verifier）構成と内部インフラ管理の失敗を公式に認めたものである。

今回の謝罪は、ここ数週間にわたって続いていたLayerZeroとKelp DAOの間の公の場での葛藤に終止符を打つ措置である。Kelp DAOはLayerZeroの責任回避を批判し、すでに2026年5月5日に競合他社であるChainlinkのCCIPへサービスを移管すると発表していた。

LayerZeroは2026年5月9日の声明を通じて、分散型検証者ネットワーク（DVN）の設定過程で発生したミスを認め、自社の内部RPCインフラの障害がハッキングの決定的な原因となったことを明らかにした。特に、初期対応の過程でプロトコル自体の欠陥がないことを強調し、ユーザーに混乱を与えた点について深い遺憾の意を表明した。

我々はKelp DAO事件の対応過程で明白な失策を犯し、単一検証者設定のリスクを十分に管理できなかった。内部インフラの脆弱性が攻撃者にさらされた点について、責任を痛感している。

今回の事件の発端は、2026年4月18日に発生した11万6,500 rsETHの奪取事件にまで遡る。当時、攻撃者は約2億9,200万ドル相当の資産を奪取しており、セキュリティ専門家は今回の攻撃の背後に北朝鮮のハッキング組織であるラザルス・グループ（Lazarus Group）がいると指摘している。

単一検証者の脆弱性と技術的欠陥の実体

技術的分析によると、Kelp DAOのrsETHアダプターは、たった一つの検証者メッセージのみを受け入れるように設定されていた。攻撃者はLayerZeroの内部RPCインフラを攻撃すると同時に、外部RPCプロバイダーに対して分散型サービス拒否（DDoS）攻撃を仕掛けてシステムを麻痺させ、これを通じて虚偽のメッセージを検証プロセスなしに通過させたことが判明した。

• rsETHアダプターの1対1検証者ネットワーク（DVN）設定エラー
• 内部RPCインフラへの精密な攻撃および外部サービスへのDDoS攻撃の併用
• アプリケーション層の設定問題として片付けていた初期対応の不備

LayerZeroは今回の謝罪文で、これまで報告されていなかった内部運用上の不備も追加で公開した。マルチシグ（Multisig）署名者の1人が、個人的な取引のために運用用のハードウェアウォレットを使用していた事実が明らかになり、これはチーム全体の運用セキュリティ管理が緩んでいたことを示す事例として指摘された。

今回のハッキングの影響で、DeFiレンディングプロトコルのAaveは甚大な打撃を受けた。Aave側はスマートコントラクト自体の欠陥はなかったと一線を画したが、奪取された資産の価値変動により、約1億7,700万ドルから2億9,000万ドルに達する不良債権が発生したと推定されている。

LayerZeroのガバナンストークンであるZROは、ハッキング事件後に市場の不確実性が高まり、大きなボラティリティを見せた。2026年4月18日の事件発生直後に約20%急落したZRO価格は、現在1.35ドル付近の主要な支持線を試しており、投資家は今回の謝罪が価格回復のモメンタムになるか注目している。

今回の事件は、クロスチェーンブリッジプロトコルが技術的な完成度だけでなく、運用上の透明性と責任ある対応がいかに重要であるかを再認識させた。LayerZeroが遅まきながら過失を認めて謝罪したことは、信頼回復のための第一歩だが、一度崩れたエコシステムの信頼を再建するには、相当な時間と努力が必要になると見られる。

DeFi業界全体では、今回の事例を機にクロスチェーンメッセージングのセキュリティ標準を強化すべきだという声が高まっている。特に、単一障害点（Single Point of Failure）を防ぐためのマルチ検証構造の義務化や、インフラプロバイダーの運用セキュリティに対する厳格な監査が、今後のプロジェクト選定の核心的な基準になる見通しだ。