#rsETHAttackUpdate

2026年4月18日に発生したrsETHのエクスプロイトは、今年の暗号通貨業界で最大のセキュリティインシデントであり、約2億9,370万ドルがKelpDAOのリステーキングプロトコルから流出しました。この攻撃は、プロトコルのブリッジコントラクトの脆弱性を悪用し、連鎖反応を引き起こしてさまざまなDeFiプラットフォームに拡散し、クロスチェーンインフラの重要なシステミックリスクを明らかにしました。
この攻撃の手法は高度ですが、以前のブリッジエクスプロイトで見られたパターンに従っており、攻撃者は侵害されたブリッジを利用してサポートのないrsETHトークンを生成し、その後、Aave V3、Compound V3、Eulerなどの主要な借入プロトコルに担保として預け入れました。これらの違法資産を使って、攻撃者は大量のWETHとwstETHを借り入れ、合計で$236 百万ドル以上の不良債権を作り出しました。盗まれた資金はメインネットのEthereumとArbitrumに分散されており、それぞれ$178 百万ドルと$72 百万ドルであり、このエクスプロイトのクロスチェーン性を示しています。
最も大きな被害を受けたのはAaveであり、汚染されたrsETH担保約2億2,139万ドルを用いて、約1億9,086万ドルのWETHと2,330万ドルのwstETHを借り入れました。プロトコルの提供者は、$123.7百万から$230.1百万の範囲の二つの不良債権シナリオを詳細に記したインシデントレポートを公開し、Aave V3とV4でのrsETH市場の凍結を含むリスク緩和策を即座に実施しました。これにより追加の預入れは防止されましたが、既存のポジションは維持され、預金者が資金を引き揚げるために合計101億ドルの資産がプロトコルから流出しました。
この感染はAaveを超えて少なくとも他の9つのプロトコルに拡大しています。Fluidは、rsETHの潜在的なエクスポージャーを持つすべての市場を停止したことを確認し、Compoundのセキュリティパートナーは、影響を受けたCometのリスクパラメータ調整のために4つのガバナンス提案を提出しました。SparkLendはエクスポージャーを凍結し、Eulerはリスク拡散を制御するために動いています。これらのクロスプロトコルの影響は、DeFiの相互接続されたアーキテクチャの根本的な脆弱性を浮き彫りにしており、借入、ボールト、流動性プロトコル全体に深く統合された資産が瞬時に失敗を伝播させる可能性を示しています。
KelpDAOの対応は、クロスチェーンの疑わしい活動を特定した後、メインネットといくつかのレイヤー2ネットワークでコントラクトの停止を直接行うことを含みます。チームはLayerZero、Unichain、監査人、セキュリティ専門家と提携し、根本原因の分析を行うと発表しました。しかし、KelpDAOと影響を受けたプロトコル間のコミュニケーションは緊張状態にあるようで、LayerZeroは2024年7月以降、rsETH DVNの設定変更に関する具体的な推奨を出していないとの報告もあります。
このインシデントは、リステーキングエコシステムにおけるブリッジのセキュリティに関する深刻な疑問を投げかけています。セキュリティ専門家のCyversは、侵害されたブリッジを通じてサポートなしの合成資産を作り出し、それを実資産の借入に利用できる能力は、この種のエクスプロイトが急速に進化していることを示していると指摘しています。今回の攻撃は、複数のチェーンにまたがる資産の分散がリスクを比例的に分散させていないこと、そしてブリッジの設計がDeFiの資産リスクプロファイルにとって切り離せない要素となっていることを示しています。
業界の観測者は、以前のDrift Protocolのエクスプロイトである約$280 百万ドルに似ていると指摘し、今回の攻撃によってそれを超えたとしています。担保の侵害を利用して複数のプラットフォームで不良債権を作り出すパターンは、現行のリスク管理フレームワークが現代のクロスチェーンDeFiの複雑さに十分対応できていない可能性を示唆しています。Aaveコミュニティは、過去の不良債権事件後に出現したパターンに従い、rsETHをすべての市場から恒久的に除外すべきかどうか議論する見込みです。
この事件後の影響は、プロトコルがエクスポージャーを評価し、改善策を実施する中で引き続き拡大しています。このインシデントは、相互接続されたDeFiの世界では、セキュリティは最も弱いリンクの強さに依存していることを痛感させるものであり、業界がこのエクスプロイトの影響に対処しながら、より堅牢なクロスチェーンリスク評価フレームワークの開発と、脆弱性が発見された際のプロトコル間の連携強化に焦点を移しています。