Kelp DAO流出とAaveの不良債権：DeFi史上最悪の46分間が暴いた致命的脆弱性

DeFi史上最悪の「暗黒の46分間」：Kelp DAOとAaveを襲った連鎖的崩壊

2026年4月18日、分散型金融（DeFi）のエコシステムは、その歴史において最も深刻な脆弱性を露呈させた。Kelp DAOがLayerZeroを介したクロスチェーンブリッジ攻撃を受け、約2億9,300万ドル相当のrsETHが不正に流出。さらに、この攻撃は単なる資産流出に留まらず、業界最大手のレンディングプロトコルであるAaveに対して2億ドルを超える「不良債権」を突きつけるという、壊滅的な連鎖反応を引き起こした。わずか46分間で行われたこの犯行は、現在のDeFiインフラが抱える致命的なリスクを白日の下にさらしたのである。

技術的欠陥：LayerZeroの検証ロジックと「無からの資産生成」

今回の攻撃の本質は、LayerZeroのメッセージングプロトコルにおける検証ロジックの不備にある。攻撃者は巧妙に偽装されたメッセージを送信し、ブリッジ側に「反対側のチェーンで資産が正当にロックされた」と誤認させた。その結果、裏付けとなるETHが1枚も存在しないにもかかわらず、116,500枚ものrsETHが「無」から生成されたのである。これは、資産の不変性を保証すべきブリッジが、入力データを盲信したことによる「人災」に他ならない。

この事態は、既存の金融規制当局に対しても強力な規制の口実を与える。米連邦準備制度理事会（FRB）や欧州中央銀行（ECB）は、ステーブルコインやLRT（液体再ステーキングトークン）のリスクをかねてより注視しており、今回の事件は、CBDC（中央銀行デジタル通貨）を推進する派閥にとって、DeFiの無秩序さを攻撃する絶好の材料となる。今後、クロスチェーンプロトコルに対する銀行並みの自己資本規制や、スマートコントラクトの強制監査法案が急浮上するのは不可避である。

歴史的比較：過去のブリッジ攻撃との決定的な差異

今回の事件は、被害規模において過去のRonin BridgeやWormhole事件に匹敵するが、その実態はより悪質かつ複雑である。以下の比較表が示す通り、被害がレンディングプロトコルへ瞬時に波及した点が、今回の事件を「DeFiの信用崩壊」へと押し上げた決定打となっている。

攻撃者は「無」から生み出したrsETHを即座にAave V3およびV4に担保として投入し、本物のWrapped Ether（WETH）を借り入れた。この一連の動作が自動化されたDeFiのコンポーザビリティ（構成可能性）を逆手に取ったものである点は、極めて巧妙かつ冷酷である。The Defiantによる分析が指摘するように、レンディングプロトコルが不正に生成された資産を「価値ある担保」として受け入れてしまった事実は、現在のリスク管理モデルの限界を露呈させている。

編集部による考察と今後の展望

今回の事件は、DeFiの最大の特徴である「相互運用性」という強みが、攻撃者にとっては「脆弱性の連鎖」を容易にするための武器に他ならないことを残酷なまでに証明した。現在、仮想通貨市場は過熱感のあるサイクルから調整局面へと移行しつつあるが、この流出劇はそのスピードを劇的に加速させるだろう。AaveというDeFiの巨塔が2億ドルの負債をどう処理するかは、分散型ガバナンスの真価が問われる試金石となる。投資家はもはや、単なる「高利回り（イールド）」を追い求めるフェーズを終えるべきだ。これからは「プロトコルのコード品質」および「緊急時の準備金（トレジャリー）の健全性」を投資判断の最優先事項に据えなければならない。短期的には市場の混乱は避けられないが、この過酷な淘汰こそが、脆弱なプロジェクトを排除し、次なる強気相場への健全な足掛かりとなる「浄化の儀式」になると確信する。

あわせて読みたい：「aave」の最新ニュースと解説

今後の注目指標

• Aave DAOの不良債権処理プラン： トレジャリー（準備金）からの補填、あるいはSafety Moduleの稼働によるAAVEトークンの売却が、トークン価格に与える直接的な影響を監視せよ。
• LRT（液体再ステーキング）市場の流動性： rsETHのデペグ（価格乖離）が他の再ステーキングプロトコルに伝播し、ETH価格を押し下げる「金融伝播リスク」の有無を注視せよ。
• 規制当局の動向： 米FRBおよびECBによる、クロスチェーン・メッセージングプロトコルを対象とした緊急の規制ガイドライン、あるいは監査義務化の声明発表のタイミングを特定せよ。