ニュース
2026年最大級のDeFi被害|KelpDAOのブリッジから約292億円相当が流出した教訓
結論:「ブリッジ」が2026年最大級の被害現場に
報道によれば、2026年4月18日、リキッド・ステーキング系のKelpDAOが使うクロスチェーン・ブリッジ(メッセージ伝送にLayerZeroを利用)から、約2億9200万ドル相当(116,500 rsETH)が流出しました。これは2026年でも最大級のDeFi被害とされています。
この記事のポイント
・被害額は約2億9200万ドル相当(116,500 rsETH)、2026年最大級
・原因はスマートコントラクトの欠陥ではなく、検証を1者に依存した設定+オフチェーン基盤の侵害
・北朝鮮系とされるLazarusグループの関与が指摘されている(報道による)
・教訓:橋(ブリッジ)は資産が集まるため、攻撃の的になりやすい
何が起きたのか
ブリッジは、あるチェーンの資産を別のチェーンで使えるように「橋渡し」する仕組みです。安全性は、「別チェーンで本当にロックされたか」を誰が検証するかに大きく依存します。
今回問題になったのは、その検証を担う仕組み(DVN=検証ネットワーク)が実質1者だけに依存する設定だった点です(いわゆる1-of-1)。攻撃者は、その検証者が参照するノード(RPC)を侵害して偽のメッセージを承認させ、実際にはロックされていない大量のrsETHが「ロックされた」と誤認させて引き出した、と報じられています。スマートコントラクトのバグではなく、運用設定とインフラの弱点を突いた攻撃でした。
なぜ重要なのか(初心者への教訓)
ブリッジは「弱い結び目」になりやすい
橋には多数の資産が集まり、検証の仕組みが攻撃の的になります。事故後、LayerZeroは1者依存(1/1)の設定提供をやめ、複数者(例:5/5・最低3/3)による検証へ移行すると説明したと報じられています。
普段使いの初心者にとっての学びは、①不要なブリッジ送金は避ける、②使うなら実績と検証方式(多者署名か)を確認、③大金を一度に渡さない、という基本です。詳しくはブリッジのリスクやスマートコントラクトのリスクも参照してください。
よくある質問
Q. 自分の資産も危なかった? A. 直接の被害は当該ブリッジの利用者・資産が中心です。ただし「橋は弱点になりやすい」という教訓は、すべての利用者に当てはまります。
Q. これはスマートコントラクトのバグ? A. 報道によれば、コントラクトの欠陥ではなく、検証を1者に依存した設定とオフチェーン基盤の侵害が原因とされています。
参考・出典
- 2026's biggest crypto exploit: Kelp DAO hit for $292 million(CoinDesk, 2026-04-19): https://www.coindesk.com/tech/2026/04/19/2026-s-biggest-crypto-exploit-kelp-dao-hit-for-usd292-million-with-wrapped-ether-stranded-across-20-chains
- Inside the KelpDAO Bridge Exploit(Chainalysis): https://www.chainalysis.com/blog/kelpdao-bridge-exploit-april-2026/
- LayerZero says it 'made a mistake' in $292M Kelp exploit(CoinDesk, 2026-05-09): https://www.coindesk.com/tech/2026/05/09/layerzero-says-it-made-a-mistake-in-usd292-million-kelp-exploit
投資にあたっての注意
本記事は2026年6月時点の公開情報・報道に基づく解説であり、投資助言ではありません。制度・各社の動き・価格は変わることがあります。最新は公式・一次情報を確認してください。
本記事は情報提供のみを目的とし、投資・金融・取引の助言ではありません。価格は参考値で古い場合があります。投資判断はご自身の責任で。