イーサリアム( ETH )のリステーキングプロトコルであるKelpDAOは21日、4月18日に発生したrsETH不正流出事件に関する公式声明をX(旧Twitter)上で公開した。流出額は約2億9300万ドル(約466億円)に上り、クロスチェーンブリッジを標的とした2026年最大規模のDeFi不正利用事案となった。
KelpDAOの声明によると、攻撃者はレイヤーゼロ(LayerZero)が運営する2つのRPCノードを侵害したうえで、残る3つ目のノードに対してDDoS攻撃を同時展開した。これにより偽造されたクロスチェーンメッセージが承認され、rsETHがブリッジアダプターから不正に引き出された。
KelpDAOは「攻撃はレイヤーゼロのインフラに対するものであり、Kelpのシステムはそのインフラの構築・運用に一切関与していない」と明言している。
KelpDAOは異常を検知した後、イーサリアムメインネットおよび複数のL2上の関連コントラクトを停止し、攻撃者に関連するウォレットをブラックリストに登録、セキュリティ対応組織SEAL-911と連携した。この迅速な対応により、攻撃者が試みた追加の約4万rsETH(約9,500万ドル、約151億円相当)の二次流出を完全に阻止したとしている。
責任の所在については両者の主張が対立している。レイヤーゼロは、KelpDAOが単一の検証者のみに依存する「1/1 DVN(分散型検証ネットワーク)」構成を採用していたことが根本原因だと指摘し、マルチDVN設定への移行を事前に推奨していたと主張。同社は今後、1/1構成のプロジェクトへのメッセージ署名を停止する方針も表明した。
一方KelpDAOは、問題の構成はLayerZero自身のデフォルト設定に基づくものであり、2024年1月からの運用期間中にレイヤーゼロチームから構成変更の具体的な勧告は受けていないと反論している。
現在KelpDAOはアーベ(Aave)や各エコシステムパートナーと連携し、コントラクト再開の可否・被害範囲の確定・補償方針の検討を進めており、インフラ依存リスクとDVN設定の業界標準をめぐる議論が改めて注目を集めている。
