リステーキングプロトコルの大手であるKelp(ケルプ)が、深刻なサイバー攻撃の犠牲となった。この攻撃により、プラットフォームからは多額の資産が不正に引き出されている。
運営チームは事態を重く見て、リステーキングトークンであるrsETHに関連するスマートコントラクトを即座に停止した。現在は詳細な調査が進められているが、被害規模の大きさに業界全体が揺れている。
今回の事件は、急速に成長を続けるリステーキング市場の脆弱性を露呈させた。複数のプロトコルが相互に繋がり合うDeFiの世界において、一つの綻びがどれほどの連鎖反応を引き起こすのか、そのリスクが改めて浮き彫りになっている。
Kelpで約2億9,300万ドルの不正流出が発生
2026年4月18日、Kelpの公式X(旧Twitter)アカウントは、rsETHに関連する不審なクロスチェーンアクティビティを検知したと発表した。これを受けて、メインネットおよび複数のレイヤー2ネットワーク上でrsETHのコントラクトが一時停止されている。
ブロックチェーンセキュリティ企業のCyversによると、今回の攻撃の標的となったのは「rsETHアダプターブリッジ契約」だ。これはKelpのトークンであるrsETHを管理するためのソフトウェアコードであり、ここから約2億9,300万ドルの資金が流出したという。
rsETHブリッジ契約の脆弱性が標的に
攻撃者は、rsETHを異なるブロックチェーン間で移動させるためのブリッジ部分にある脆弱性を突いた。ブリッジは大量の資産がロックされる場所であるため、ハッカーにとっては常に魅力的な標的となる。
今回、rsETHというリステーキングトークンそのものの信頼性が揺らぐ事態となった。リステーキングとは、すでにステーキングされている資産をさらに別のサービスのセキュリティ向上に活用する仕組みだ。これによりユーザーは追加の報酬を得られるが、構造が複雑になる分、リスクも増大する。
攻撃者はTornado Cashを経由して資金を洗浄
Cyversの報告によれば、攻撃者は暗号資産ミキシングサービスであるTornado Cash(トルネード・キャッシュ)を利用して、攻撃用の資金を準備していた。ミキシングサービスは送金元を匿名化するために使われるツールだ。
盗み出された資金のうち、約2億5,000万ドル分はすでにイーサリアム(ETH)に交換されたことが確認されている。ステーブルコインなどと違い、ETHは発行元による凍結が難しいため、ハッカーが逃走資金として好んで利用する傾向がある。
DeFiエコシステムへの深刻な影響と連鎖リスク
Kelpでのハッキング被害は、単一のプラットフォームにとどまらなかった。DeFi(分散型金融)の最大の特徴である「コンポーザビリティ(相互運用性)」が、今回は負の側面として作用している。
コンポーザビリティとは、異なるプロトコルをレゴブロックのように組み合わせて新しい金融サービスを作る仕組みのことだ。しかし、土台となるパーツに問題が生じると、その上に構築されたすべてのサービスが影響を受けてしまう。
Aaveなどの主要プロトコルが市場を凍結
大手レンディングプロトコルのAave(アーベ)は、Kelpの異変を察知して即座に対応した。Aave V3およびV4において、rsETHに関連する市場を凍結すると発表している。これは、不正に流出したトークンが市場に流れ込み、さらなる被害が出るのを防ぐための措置だ。
Cyversの調査によると、少なくとも9つの暗号資産プロトコルがrsETHを扱っており、それらすべてが活動の停止や制限を余儀なくされている。一つのトークンの価値が損なわれることで、多くの運用先が連鎖的にリスクにさらされる結果となった。
相互運用性がもたらす「コンポーザビリティ」の罠
CyversのCEOであるデディ・ラヴィド氏は、今回の事件について、DeFiにおけるコンポーザビリティのリスクを改めて浮き彫りにしたものだと指摘している。利便性と収益性を追求した結果、セキュリティの境界線が曖昧になっていた可能性は否定できない。
リステーキングトークンは、元の資産(ETHなど)に対する「請求権」のような性質を持つ。その請求権を裏付けるプロトコルが攻撃を受けると、預けていたユーザーの資産そのものが危険にさらされる。このような構造的な脆さを、今回の事件は証明してしまった。
相次ぐ大規模ハッキングと巧妙化する手口
暗号資産業界では、ここ数ヶ月で大規模なハッキング事件が相次いでいる。2026年に入ってからの被害総額は、第1四半期だけで約4億8,200万ドルに達している。Kelpの事件は、その数字をさらに大きく塗り替えるものとなった。
特に注目すべきは、コードの欠陥を突くだけでなく、人間を標的にした巧妙な手法が増えている点だ。ハッカー集団は技術的な攻撃と、心理的な隙を突くソーシャルエンジニアリングを組み合わせるようになっている。
Drift Protocolの2億8,000万ドル流出と北朝鮮の影
2026年4月には、分散型取引所(DEX)であるDrift Protocol(ドリフト・プロトコル)も攻撃を受け、約2億8,000万ドルが流出した。この事件の背景には、数ヶ月にわたる綿密な準備があったと報じられている。
Driftのチームによると、この攻撃に関与したのは北朝鮮の国家に関連するハッカー集団である可能性が高いという。彼らは単に外部から攻撃を仕掛けるのではなく、時間をかけてプロジェクトの内部に浸透していく手法を取っていた。
カンファレンスでの接触から始まるソーシャルエンジニアリング
Drift事件の事後報告によれば、チームは主要な暗号資産カンファレンスで攻撃者と接触していた。ハッカーたちは優秀な開発者を装い、数ヶ月間にわたってチームと協力関係を築いていたという。まさにスパイ映画のような展開だ。
最終的に、攻撃者は開発者のマシンにマルウェア(悪意のあるソフト)を仕込み、プラットフォームの権限を奪い取った。このように、対面でのコミュニケーションを通じて信頼を得てから攻撃に転じる手法は、従来のセキュリティ対策だけでは防ぎきれない恐ろしさがある。
2026年第1四半期の被害額は約4億8,200万ドルに到達
暗号資産市場が活況を呈する一方で、犯罪者たちもその活動を活発化させている。セキュリティ企業Hackenのデータによれば、2026年第1四半期のWeb3関連のハッキング被害額は約4億6,400万ドルに上り、その他の詐欺も含めると約4億8,200万ドルに達した。
被害はプロトコルへの直接攻撃だけではない。Apple App Storeに掲載されていた偽のLedger Liveアプリによって、約950万ドルが盗まれた事例も報告されている。ユーザーの身近な場所にも、巧妙な罠が仕掛けられているのが現状だ。
暗号資産の価格が上昇し、市場に新規ユーザーが流入する時期は、ハッカーにとっても「稼ぎ時」となる。KelpやDriftのような巨額の被害が続くことは、業界の健全な発展にとって大きな障害となりかねない。
リステーキング市場の急成長に潜む構造的な課題
リステーキングは、イーサリアムのセキュリティを横展開できる画期的な技術として期待されてきた。EigenLayer(アイゼンレイヤー)などの登場により、市場には莫大な資金が流れ込んでいる。しかし、その成長スピードにセキュリティが追いついていないとの懸念もある。
リステーキングされた資産は、複数の「報酬の蛇口」に繋がっている。これは、どこか一つの蛇口が壊れた際に、システム全体にどのような影響を及ぼすか予測しにくいという課題を抱えている。今回のKelpの事件は、まさにその複雑さが引き起こした悲劇とも言えるだろう。
投資家は高い利回りに目を奪われがちだが、その裏には常に「スマートコントラクトのリスク」が存在する。特にリステーキングのように複数の契約が重なり合う分野では、リスクも掛け算で増えていくことを忘れてはならない。プロジェクト側には、より厳格な監査と、異常を検知した際の迅速な自動停止機能の実装が求められている。
この記事のポイント
- リステーキングプロトコルのKelpから約2億9,300万ドルが不正に流出した
- rsETHのブリッジ契約にある脆弱性が攻撃の標的となり、資産がETHに交換された
- Aaveなどの主要プロトコルがrsETH市場を凍結し、DeFi全体の連鎖リスクへの対応を急いでいる
- Drift Protocolの事例では、北朝鮮系ハッカーによる巧妙なソーシャルエンジニアリングが判明している
- 2026年第1四半期のハッキング被害は約4億8,200万ドルに達し、セキュリティの重要性がかつてなく高まっている
暗号資産とブロックチェーンの可能性を追求するエミリー。
暗号資産投資、DeFi、NFT、WEB3、メタバースといった最先端分野を深く理解し、「エミリーズ・クリプト・インサイダー」を運営。
分かりやすい解説で、ブロックチェーン革命の潮流を一般に広めることを目指す。初心者から上級者まで、最新情報を求めるすべての人に役立つ情報発信を心がけている。