*本レポートは、クリプトアナリストである仮想NISHI( @Nishi8maru )氏が、CoinPostに寄稿した記事です。
2026年4月18日夜(UTC)、リキッドリステーキング(LRT)プロトコル「Kelp DAO」のクロスチェーンブリッジから、約464億円相当の116,500 rsETHが流出した。流通量の約18%にあたる規模であり、年初来最大級のDeFiハック、そして2026年に発生した暗号資産関連事件としても現時点で最大規模の被害である。
ただし、本稿の主題はハッキングそのものではない。注目すべきは、発生後10日間で業界が見せた集団的な対応である。
アービトラムガバナンスによる迅速な資金凍結、480億円のETHコミットメント、そして「rsETH保有者に損失を転嫁しない」という方針の明示。これら一連の動きは、2026年のDeFi市場における一つの転換点として記録されるべきものだ。
DeFiは今、「事件をどう防ぐか」と同じ重さで、「起きた後にどう処理するか」がプロトコル評価の軸に組み込まれるフェーズに入っている。事件発生からの10日間を時系列で追いながら、何が変わったのか、市場は何を値付けすべきなのかを考察する。
攻撃は4月18日17時35分(UTC、日本時間19日2時35分)、Kelp DAOがLayerZeroを介して運用していたブリッジを標的に行われた。攻撃者は偽造したクロスチェーンメッセージを送り込み、Ethereum側の保管契約から116,500 rsETHを引き出した。
ブリッジが保有していたrsETHは、Base、Arbitrum、Linea、Mantleなど20以上のネットワークに展開されたラップ版rsETHの裏付け資産であった。流出により、L2側の保有者は実質的に無担保状態に置かれ、Ethereum側への償還圧力が連鎖する構造となった。
注目すべきは、事件発生後の10日間で業界が見せた対応である。Arbitrumによる迅速な資金凍結、3億ドル超のETH支援、そして「rsETH保有者に損失を負わせない」という方針の明示。これらの動きは、DeFi市場にとって一つの転換点である。
DeFiは今、「事件をどう防ぐか」だけでなく、「事件が起きた後にどう対応するか」まで評価される段階に入っている。
今回の事件で重要なのは、なぜ被害がここまで広がったのかという点である。
背景には、rsETHを担保にしてETHを借りる取引が、DeFi内で大きく積み上がっていたことがある。
これは簡単に言えば、「rsETHを預ける」「ETHを借りる」「そのETHをまた運用する」という形で、利回りを高める取引である。平時には効率的な運用に見えるが、担保であるrsETHに問題が起きると、一気にリスクが広がる。
2026年1月29日、AaveはrsETH向けに、担保価値の最大93%までETHを借りられる仕組みを導入した。これは非常に高い借入余地を認める設計であり、rsETHを使った運用需要を強く後押しした。同じ日に、SparkLendはrsETHから撤退していた。理由は、rsETHそのものの脆弱性ではなく、利用が一部のアドレスに集中していたことへの懸念である。結果的に、この判断は正しかったことになる。
4月9日には、AaveでrsETHの供給上限を48万から53万へ引き上げる提案も出ていた。事件直前まで、rsETHを使った運用需要が強かったことを示している。そして4月18日、攻撃が発生した。流出した116,500 rsETHのうち、約107,000枚がAaveなどのレンディング市場に担保として差し入れられ、ETHを借りる形で資金化された。
この構造が、損失をさらに大きくした。
価格が似た動きをする資産でも、裏側の仕組みが同じとは限らない。平時には見えにくいが、有事には「どの仕組みに依存しているか」が重要になる。
今回の事件で注目すべきは、被害発生後の対応の速さである。
4月20日、アービトラムのセキュリティ機関である「Arbitrum Network Security Council」は法執行機関と連携し、攻撃者関連アドレスがArbitrum One上に保有していた30,766 ETH、110億円相当を凍結した。これは流出資金の約25%にあたる。Arbitrum側は、他の利用者やアプリ、ネットワーク全体に影響を与えない形で、対象資金のみを中間ウォレットへ移したと説明している。事件発生からわずか2日での対応であった。
もう一つの大きな動きが、業界横断の支援枠組みである。
4月23日、Aaveの関係者を中心に「DeFi United」と呼ばれる支援体制が立ち上がった。Aave、EtherFi、Lido、Consensysなど、DeFiの主要プレーヤーが相次いでETHによる支援を表明し、最終的な支援総額は3億ドル超に達した。
平時には競合関係にあるプレーヤーが、DeFi全体の信頼を守るために短期間で協力した点は重要である。今回の対応は、DeFiが個別プロジェクトの集合体から、業界全体で危機対応を行う段階に入りつつあることを示している。
4月28日には、DeFi Unitedが具体的な復旧プランを公表した。主な内容は、支援されたETHを使ってrsETHの裏付けを回復すること、そして攻撃者がAaveやCompound上に残しているポジションを計画的に処理することである。特に重要なのは、「rsETH保有者に損失を負わせない」という方針が明確に示された点である。これまでのDeFi事件では、利用者損失の扱いが曖昧になることも多かった。今回の対応は、業界全体で損失処理の枠組みを作ろうとした点で、一歩進んだ事例といえる。
Kelp DAOのハッキングは、2026年最大級のDeFi流出事件として記憶されるだろう。しかし、より重要なのは、事件後の10日間で業界が示した対応である。
アービトラムによる資金凍結、DeFi Unitedの形成、480億円超の支援、そしてrsETH保有者に損失を負わせないという方針。これらは、DeFiが単なる実験的な金融アプリ群から、危機対応能力を持つ金融インフラへ移行しつつあることを示している。DeFiにおいて、ハッキングを完全にゼロにすることは難しい。だからこそ、重要なのは、問題をどれだけ早く見つけ、どれだけ早く止め、どのようなルールで損失を処理するかである。
今後、市場は利回りだけではなく、危機時の回収可能性、運営体制の実効性、業界内での支援ネットワークまで含めて、プロトコルを評価するようになる。今回のKelp DAO事件は、DeFiの弱さを示した事件であると同時に、業界の成熟を示した事件でもある。その意味で、本件は単なるハッキング事件ではない。AIの進化でハッキング事件が多発する中で、DeFi市場が「失敗後の対応力」まで問われる段階に入ったことは注目すべきポイントとなった。
