2026年4月19日(UTC)、イーサリアムのリステーキングプロトコル「Kelp DAO」が大規模なハッキング被害を受けた。CoinDeskによると、流出した資産は約11万6,500枚のrsETH(2.92億ドル相当)にのぼり、2026年のDeFi(分散型金融)史上最大の被害額となった。被害はKelp DAOにとどまらず、大手レンディングプロトコル「Aave」にまで連鎖し、DeFi全体の預かり資産(TVL)が264億ドルから約200億ドルへと急減した。
クロスチェーンブリッジとは何か——攻撃の起点を理解する
今回の攻撃を理解するには、まず「クロスチェーンブリッジ」の仕組みを知る必要がある。ビットコインやイーサリアムなど、各ブロックチェーンはそれぞれ独立した台帳であり、異なるチェーン間で直接資産を移動させることができない。異なるチェーン間で資産を送るには「橋渡し役」となるブリッジが必要だ。「チェーンAで100ドル分のETHをロックした」という情報を、ブリッジがチェーンBに伝え、チェーンBで同額のトークンを発行する、という仕組みだ。
通常のステーキングでは、ETHを1か所にロック(預け入れ)してネットワーク維持の報酬を得る。リステーキングとは、すでにステーキング済みのETHを別のプロトコルの担保としても再利用し、二重の報酬を得る仕組みだ。報酬が増える分、仕組みが複雑になり、関係するプロトコルへの連鎖リスクも高まる。Kelp DAOはこのリステーキングを複数チェーンで提供するプロトコルだった。
Kelp DAOは複数チェーンにまたがるブリッジにLayerZeroを採用していた。LayerZeroは20以上のブロックチェーンをつなぐ大規模なクロスチェーン通信プロトコルだ。攻撃者はLayerZeroの検証レイヤー(「この通信は正しいか」を判断する仕組み)に偽のクロスチェーンメッセージを送り込み、実際には資金がロックされていないにもかかわらず「複数チェーンに資金が届いた」と誤認識させることに成功した。こうして各チェーンのブリッジ準備金から資産を引き出したのが今回の攻撃の核心だ。
被害が20チェーンに分散——Aaveへの連鎖崩壊
攻撃者が盗んだ資金を即座に20チェーン以上に分散させた点も、今回の攻撃の特徴だ。ブロックチェーン上での資金追跡(チェーン分析)を困難にする手口であり、盗まれたrsETHの一部は複数のDEX(分散型取引所)でETHや他のトークンに換金された。
問題はKelp DAOの外にも及んだ。盗品のrsETHがAaveで担保として使われていたためだ。Aaveはユーザーが暗号資産を担保に別の暗号資産を借り入れられるレンディングプロトコルで、DeFiの中核インフラの一つだ。rsETHが突然大量に売却されて担保価値が暴落すると、Aaveシステム全体で強制清算(担保不足になったポジションの自動解消)が連鎖した。Decryptによると、Aaveからは約62億ドル相当の流動性がパニック的に引き出され、AAVEトークン自体も一時18%下落した。
DeFi全体のTVLが急落——過去の大型ハックとの比較
CoinDeskの分析によると、今回の2.92億ドルという被害額は、2026年4月1日に発生したDrift Protocolへの攻撃(2.85億ドル)を上回り、2026年で最大のDeFiハックとなった。「DeFiは死んだ(DeFi is dead)」という言葉がコミュニティで飛び交ったが、この表現は過去にも繰り返されてきた。
2022年のAxie Infinity Ronin Bridge(6.25億ドル流出)、2023年のEuler Finance(1.97億ドル流出)——いずれも「DeFi終焉」を叫ばれた事件だったが、市場はそのたびに復活してきた。TVLの回復には通常1〜3か月かかることが多い。今回の被害が「DeFiというコンセプトの欠陥」ではなく「LayerZeroの検証レイヤーという特定の設計の欠陥」を突いたものである点は、長期的な評価において重要な区別だ。
私たちの資産にどう関係するか
DeFiに直接参加していない個人投資家にも、今回の事件はいくつかの面で影響しうる。まず、取引所や仮想通貨運用サービスを通じて間接的にDeFiプロトコルが使われているケースがある。高利回りを提供する仮想通貨サービスの裏側でDeFiプロトコルが使われることは多く、そのサービスがKelp DAO関連のプロトコルを利用していた場合、今回の被害が間接的に影響する可能性がある。
次に、BTC・ETH価格への波及だ。大規模なDeFiハック後は、不安から仮想通貨全体を売る「リスクオフ」が起きやすい。ただし週明け4月20日時点では、BTC・ETHへの直接的な価格インパクトは限定的とみられており、市場はDeFiセクター固有の問題として切り分けている可能性がある。先週のETH/BTC比率回復で示されたイーサリアムのオンチェーン底力が試される局面だ。
今後の注目点
まず、LayerZeroとKelp DAOの公式対応だ。過去の大型ハックでは、攻撃者との交渉(「被害額の10%をバウンティとして支払うから残りを返還せよ」という形)が成立し、資金の一部が戻ったケースもある。Kelp DAOがホワイトハット交渉に踏み切るか、法的手段に出るかが最初の分岐点だ。次に、LayerZeroを採用する他のプロトコルへの波及だ。今回の攻撃を受けてセキュリティ監査の要求が高まり、複数のプロトコルが一時的に機能を停止する可能性がある。最後に、米SECやCFTCがDeFiへの規制強化の口実にするかどうかも注目される。
個人投資家が意識すべき3つのポイント
① クロスチェーン対応プロトコルには追加の攻撃面がある
1つのチェーン内で完結するプロトコルと異なり、複数チェーンにまたがるプロトコルはブリッジという追加の攻撃面(アタックサーフェス)を持つ。DeFiに参加する前に「どのブリッジを採用しているか」「そのブリッジの監査状況はどうか」を確認する習慣をつけたい。
② コンポーザビリティは崩壊も連鎖させる
DeFiは複数プロトコルが積み木のように組み合わさる「コンポーザビリティ」を強みとしているが、それは「1か所が崩れると他にも連鎖する」ことを意味する。今回のrsETH→Aaveの連鎖崩壊がその典型例だ。複雑な利回り構造のプロトコルは、仕組みを理解してから参加することが前提となる。
③ 高い利回りは複雑さとリスクの裏返し
Kelp DAOのリステーキングは通常のETHステーキングより高い利回りを提供する。その高さは仕組みの複雑さとリスクの反映だ。利回りを比較する際は「なぜそんなに高いのか」を問う習慣が、DeFiへの参加判断を正確にするための基本だ。
