主な要点:
- 攻撃者がKelpDAO上の単一ベリファイア(検証者)によるLayerZeroブリッジを悪用し、裏付けのないrsETHトークン2億9,200万ドル相当をミントしました。
- AaveとMantleが主導する「DeFi United」と呼ばれるプロトコル連合が、救済活動を開始しました。
- RippleのCTOは、システムのセキュリティ設定に関する過去の声明との矛盾を挙げ、LayerZeroの公式説明に疑問を呈しています。
戻る
戻る
KelpDAOで2億9,200万ドルの不正流出、LayerZeroブリッジのリスクが浮き彫りに
LayerZeroが提供するKelpDAOのクロスチェーンブリッジ・インフラにおける重大な脆弱性が原因で、4月18日に2億9,200万ドルの不正流出が発生しました。これにより裏付けのないrsETHトークンが作成され、融資プロトコルAaveで流動性危機が引き起こされました。
Altura DeFiのCOO、マシュー・ピノック(Matthew Pinnock)氏はDecryptに対し、今回の協調的な対応は、エコシステムが「孤立したプロトコルを超えて、より調整された金融システムへと移行している」ことを示しているが、引き続き責任の追及に焦点を当てるべきだと語りました。
Chainalysisの報告書によると、北朝鮮のラザルス・グループ(Lazarus Group)と見られる攻撃者が、内部RPCノードを汚染して資産の「幻の焼却(ファントム・バーン)」を報告させることで、LayerZeroの単一ベリファイア・ネットワークを侵害しました。これにより、イーサリアム上で116,500 rsETHが不正にミントされる事態となりました。
この事件により、影響を受けたプロトコルから150億ドル以上のTVL(預かり資産)が消失し、主要なDeFiプレイヤーによる大規模で協調的な救済活動が始まりました。一方で、クロスチェーンブリッジ・アーキテクチャのセキュリティと中央集権性について深刻な疑問が投げかけられています。
救済に結束するDeFi
資金不足に対応するため、「DeFi United」と銘打たれたプロトコル連合が不良債権を吸収するために動いています。この取り組みには、Aave創設者のスタニ・クレチョフ(Stani Kulechov)氏による個人としての5,000 ETHの寄付の約束や、MantleによるAave DAOへの30,000 ETHのクレジットファシリティ(融資枠)の提案が含まれています。Lido Finance、Golem Foundation、Ether.fiも数百万ドルの支援を約束しました。Arbitrumセキュリティ評議会は法執行機関と連携し、攻撃者の下流アドレスに関連する約7,150万ドル相当の30,766 ETHの凍結に成功しました。
設定を巡る疑問
事件の余波は、LayerZeroのセキュリティ体制に関する疑問によってさらに拡大しています。RippleのCTOであるデビッド・シュワルツ(David Schwartz)氏は、LayerZeroのCEOブライアン・ペレグリーノ(Bryan Pellegrino)氏による2024年12月の声明を指摘しました。当時ペレグリーノ氏は、プロトコルのボリュームの「0%」が単一の分散型検証ネットワーク(DVN)のみに依存していると主張していました。シュワルツ氏は「2024年12月から現在までの間に何かが変わったのか?」と問いかけ、攻撃が説明通りではなかったか、あるいは以前のセキュリティに関する主張が不正確であった可能性を暗示しました。LayerZeroは、今回の攻撃はKelpDAO固有の単一DVN設定に限定されたものであると主張し続けています。
本記事は情報提供のみを目的としており、投資助言を構成するものではありません。