KelpDAOのrsETHブリッジで4月19日未明、約116500 rsETH、約2億9000万ドル(約466億円)が不正に流出しました。ブリッジ基盤を提供するLayerZeroは、KelpDAO側が単一の検証者に依存する設定を採用していたことが原因だと説明しています。
これに対しKelpDAO側は、LayerZeroのインフラと初期設定が事故を招いたと主張しており、DeFiのクロスチェーン設計を巡る責任の所在が問われる事態になっています。
イーサリアムのリステーキング「KelpDAO」攻撃で440億円超が不正流出|Aave凍結、DeFiに波及
攻撃の発生時刻と被害範囲
不正流出が起きたのは、4月19日2時20分から3時40分ごろです。対象となったのは、KelpDAOがLayerZero上で運用していたrsETHブリッジで、流出量は116500 rsETHに達しました。
攻撃は、RPCインフラの毒化とDDoS攻撃を組み合わせた手法だったとされています。検証者が参照する通信経路やノード応答を乱し、偽のクロスチェーンメッセージを正当なものとして承認させた構図です。ブリッジは異なるチェーン間で資産の受け渡しを担う仕組みですが、その安全性はメッセージを誰がどう確認するかに大きく左右されます。
KelpDAOは不審な活動を検知した直後、rsETHコントラクトを一時停止し、LayerZeroと共同で原因調査に着手しました。LayerZeroも同日、問題はKelpDAOのrsETHに限定されており、他のアプリケーションは安全だと説明しています。
影響は個別プロトコルにとどまりませんでした。事件後、DeFi全体の預かり資産総額(TVL)は約130億ドル減少し、レンディング大手Aaveでは不良債権の発生も確認されました。ブリッジで発行・移転される資産は、担保や流動性供給にも使われるため、ひとつの破綻が複数のサービスに連鎖しやすい構造が改めて浮き彫りになりました。
今回の対立は、DeFiのセキュリティがスマートコントラクト単体では完結しないことも示しました。コード監査を通過していても、検証者の構成、RPCの分散、障害時の切り離し手順が弱ければ、橋の土台そのものが崩れます。クロスチェーン市場では利便性が重視されがちですが、今回の466億円規模の流出は、設定画面の一項目がシステム全体のリスクを左右する現実を突きつけました。
参考元:CoinDesk
画像:shutterstock
取引手数料無料で始めるなら MEXC
3,000種類以上の銘柄に対応、最大500倍レバレッジの仮想通貨取引所
- ✓ 取引手数料無料
- ✓ 取扱銘柄3,000種類以上
- ✓ 最大レバレッジ500倍
