DeFi大混乱：290億円相当のrsETHハッキングがAaveに波及、140億ドル規模の損失に

DeFiセクターに140億ドル規模の損失、AaveのTVLが3分の1に激減

分散型金融（DeFi）セクターは、北朝鮮系ハッカー集団による疑いのある大規模ハッキングの影響で深刻な打撃を受けている。4月18日に発生したこの事件では、Kelp DAOの流動性ステーキングトークン「rsETH」が290億円相当流出し、その影響が複数のプロトコルに波及。DeFiの代表的なレンディングプロトコルであるAaveの総ロックアップ額（TVL）が3分の1に激減した。

ハッキングの手口：LayerZeroブリッジの脆弱性を悪用

今回のハッキングは、LayerZeroブリッジの脆弱性を悪用したものと見られている。攻撃者は、Kelp DAOが採用していた「単一DVN（Decentralized Verifier Network）設定」のセキュリティ上の弱点を突き、rsETHを不正に移動させた。

LayerZeroは、ブロックチェーン間のトークン移動を仲介するプロトコルで、トランザクションの検証に複数のDVNを活用している。しかし、Kelp DAOはこのうち1つのDVNのみを使用する設定を採用していた。これにより、攻撃者は悪意のあるトランザクションを実行し、最終的にAaveを含む複数のレンディングプロトコルで236億円相当のWETHを借り入れることに成功した。

LayerZeroによる主張と専門家の反論

LayerZeroは、今回の攻撃が「高度なRPCスプーフィング攻撃」によるものだと主張している。攻撃者は、悪意のある情報を特定のDVNにのみ提示し、他の監視システムを回避。さらに、無害なRPCに対してDDoS攻撃を仕掛け、攻撃対象のRPCへの切り替えを誘発したとしている。

しかし、匿名のDeFi開発者banteg氏は、この主張に反論。攻撃は「信頼境界内でのインフラ侵害」であり、外部からの干渉ではなく内部からの攻撃だった可能性が高いと指摘している。banteg氏は、「攻撃の経緯が明らかにされていない以上、ブリッジの再開には慎重であるべきだ」と警告している。

被害の拡大：AaveのTVLが90億ドル以上流出

ハッキングの直接的な被害に加え、DeFiセクター全体に深刻な影響が広がっている。攻撃者は、流出したrsETHを売却して価格を暴落させるのではなく、Aaveや他のレンディングプロトコルに担保として預け入れ、236億円相当のWETHを借り入れた。

その結果、Aaveからは事件発生以降、90億ドル以上の資金が流出。プロトコルは数億ドル規模の不良債権のリスクに直面しており、その損失を誰が負担するのかが未だに決まっていない状況だ。

Kelp DAOの対応と今後の展望

Kelp DAOは事件発生直後、X（旧Twitter）上で「rsETHに関する不審なクロスチェーン取引を確認した」と発表。その後、メインネットと複数のL2ネットワーク上のrsETHコントラクトを一時停止し、調査を開始した。同DAOは、LayerZeroやUnichain、監査会社、セキュリティ専門家と協力し、原因究明（RCA）を進めている。

しかし、Kelp DAOからは現在まで具体的な対策や被害の全容についての公式発表はなく、コミュニティからはさらなる情報開示を求める声が上がっている。

DeFiセクターの今後：セキュリティ強化が急務に

この事件は、DeFiセクター全体のセキュリティ体制の脆弱性を浮き彫りにした。特に、ブリッジプロトコルのセキュリティモデルや、レンディングプロトコルのリスク管理体制について、抜本的な見直しが求められている。

専門家らは、今後同様の事件を防ぐためには、マルチDVNの採用や、より厳格な監視体制の構築が不可欠だと指摘している。また、ユーザー側も、リスクの高いプロトコルへの資金流入に対して、より慎重な判断が求められるだろう。