#rsETHAttackUpdate
2026年最大のDeFiハッキングから6日後、rsETH危機は最も深刻な回復段階に入った。攻撃は封じ込められた。出血は止まった。しかし、悪債分配、rsETHペッグ復元、多チェーン資金回収をカバーする完全な解決策は今朝も引き続き進行中である。以下は本日確認されたすべての内容である。
攻撃概要 2026年4月18日に何が起こったか
2026年4月18日17:35 UTCに、攻撃者はKelpDAOのLayerZero V2ブリッジをUnichainとEthereumメインネット間で悪用した。ブリッジは壊滅的に弱い1-of-1 DVNに設定されており、LayerZero Labsが運営する単一のバリデータノードがクロスチェーンメッセージの承認権限を完全に持ち、独立した検証なしに操作できた。攻撃者はLayerZeroのDVNが使用するRPCインフラを汚染し、正当なノードをDDoS攻撃でダウンさせてフェイルオーバーを強制し、その後有効なクロスチェーンメッセージを偽装してブリッジを騙し、116,500の未裏付けrsETHトークンを攻撃者管理のアドレスに直接ミントさせた。これらのトークンは即座にAave V3に担保として預けられ、攻撃者は実際の裏付けなしに大量のWETHを借り入れた。総被害額:2億9200万USDT、2026年最大のDeFi脆弱性。
回復進捗 本日確認された内容
回復は進行中だが未完である。Arbitrumセキュリティ評議会は、攻撃に関連するETH約7000万USDTを回収し、今週初めに報告された30,766 ETHから増加した。これらの資金はガバナンスの決定を待つ中間ウォレットに保管されている。ただし、盗まれた資産の大部分はすでにTHORChainを通じて移動されており、完全回収を大きく妨げている。KelpDAOのマルチシグは、攻撃後すぐにコアコントラクトを凍結し、約9500万USDT相当の二次盗難を阻止したことを確認、これにより緊急対応メカニズムが最初の侵害後に正しく作動したことが証明された。全体の回収率は4月24日時点で盗まれた資金の50%未満にとどまっている。
DeFi統一産業連合の結成
本日最も重要な進展は、Aave主導のDeFi United回復イニシアチブの正式拡大である。これは、rsETHの裏付けを安定させ、影響を受けた貸出プラットフォームの悪債を排除するための業界全体の救済努力である。4月24日現在の確定寄付は、Aave創設者のStani Kulechovが自身の資金から5,000 ETHを個人的に寄付し、「Aaveは私の人生の仕事であり、ユーザーのために最良の結果を追求し続ける」と述べている。EtherFiのガバナンスは、1,800人のトークンホルダーから圧倒的な賛同を得て、DAOのトレジャリーから最大5,000 ETHの寄付を承認した。Lido Financeは、rsETHの裏付けギャップに対処するために最大2,500 stETHをコミットした。Golem FoundationとGolem Factoryは、それぞれのトレジャリーから合計1,000 ETHを寄付。LayerZeroもrsETHの裏付け復元に向けた寄付を提案し、Aave、EtherFi、Ethena、Arbitrum、Kelpと密に連携していると述べた。Tydro、Ink Foundation、Mantleも連合に参加し、MantleはAaveの流動性支援のために大規模な構造化ローンを提案した。1週間以内に、関係者と資金分配方法を詳細に記した包括的なロードマップが公開される見込みである。
Aave公式対応 予備資金凍結状況
Aaveのガーディアンは、4月18日18:52 UTCの初期攻撃から77分以内にrsETHとwrsETHの市場で緊急凍結を開始した。4月24日現在、rsETHのリザーブはEthereum Core、Arbitrum、Base、Mantle、Lineaで引き続き停止中であり、Aaveは解決策の進行に伴い最大限の資金回収を促進するための措置と明言している。Aaveのガバナンスは、V3とV4の両方の展開でrsETH市場を無効化した。その他のAaveプールはすべて安全かつ稼働中であり、今回のインシデントはrsETHに限定されており、Aaveプロトコル自体の脆弱性を示すものではない。
より広範なDeFi感染拡大 被害の全体像
感染はKelpDAOをはるかに超えて拡大した。Aaveは6,200百万USDTの純流出を記録し、23%の減少。Morphoは716百万USDTを失い、9%減少。Sky protocolは272百万USDTを失い、4%減少。JupLendは76百万USDTを失い、8%減少。攻撃直後にDeFiの総TVLは約100億USDT減少し、JPMorganはエコシステム全体への影響を200億USDTと推定している。LidoはEarnETHを一時停止し、約9%のTVLがKelpDAOのrsETHに直接露出していたため、事前の資産評価で3百万USDTの流動性バッファを展開し、攻撃前の出金リクエストを処理した。DVV、GGV、EarnUSDはrsETHへの直接的な露出ゼロを確認し、通常通り運営を続けている。SparkLendとFluidはともにrsETHのエクスポージャーに対して緊急停止を実施。利用率に基づく金利は複数の貸出プラットフォームで急騰し、借り手のレバレッジ縮小とポートフォリオ調整を促した。
ユーザ資金 現在の状況(ポジションタイプ別)
ユーザ資金の安全性は、どの製品とチェーンを通じてエクスポージャーを持っていたかに完全に依存している。
EthereumメインネットのrsETHホルダーは、正当なEigenLayerステーキング預金に裏付けられており、その裏付けEigenLayer委任は完全に維持され、侵害されていないことが確認された。Aaveの非rsETHポジションを持つユーザは全て安全で影響を受けていない。Layer 2ネットワーク上でwrapped rsETHを保有するユーザは、ブリッジのリザーブが破損しているため、真の不確実性に直面している。資産の損失分配はまだ正式に決定されていない。流動性不足前にEarnETHの出金申請を行ったユーザは、事前評価での価格で償還される。後続の出金リクエストは流動性条件が正常化した後に処理される。関係するすべてのプロトコルの公式ガイダンスは変わらず、「正式な解決策が発表されるまで、いかなるチェーン上のrsETHとも相互作用しないこと」が推奨されている。
セキュリティパッチ 何が変わったか
この攻撃を可能にした1-of-1 DVN設定は、根本的な脆弱性として特定されており、今後のKelpDAOやLayerZeroの展開には登場しない。LayerZeroは、攻撃前にKelpDAOに対してマルチDVN設定を推奨していたが、そのプロトコルは依然として1-of-1展開を許可していたことを認めた。これに対し、オンチェーンのセキュリティ研究者bantegは、4月19日時点でArbitrum、Base、BSCを含む複数のプロジェクトが依然として1-of-1ブリッジ設定を運用していると公に指摘し、DeFiエコシステム全体で緊急のセキュリティレビューを促した。今後は、少なくとも2-of-3のマルチDVN検証基準を業界の標準として採用し、高価値のブリッジ展開においても自動的なサーキットブレーカーを導入することが求められる。
投資家の感情 恐怖か機会か
rsETHに関する市場のセンチメントは依然非常にネガティブであり、DeFi Unitedの回復ロードマップが正式に公開され、悪債分配が確定するまではその状態が続く。しかし、より広範なDeFiセクターは、資本が影響を受けたプロトコルから無傷の代替へと流れる「避難所取引」の初期兆候を示している。Santimentは、Kelpの崩壊から6日後にこのパターンが出現したことを確認した。DeFi United連合の迅速さと規模は、すでに13,500 ETH以上の資金が確定寄付として誓約されており、過去のDeFi脆弱性回復努力を上回るものであり、エコシステムの成熟を示している。1,800人のEtherFiトークンホルダーが圧倒的に回復資金の投入に投票した事実は、DeFiのガバナンスメカニズムが危機時に高速で動員できることを証明している。
DeFiセキュリティに関する教訓 これが永続的に変えるもの
この攻撃を受けて、DeFiには3つの構造的変化が進行中である。第一に、1-of-1 DVN設定はすべての主要なブリッジプロトコルから排除されつつある。KelpDAOの攻撃は、単一のバリデータの侵害が数億ドルを数分で流出させることを示した。第二に、すべてのチェーンで同時にロック・ミント比率を追跡するリアルタイムの不変性監視が、コアセキュリティ要件として義務付けられる。第三に、ブリッジのTVL集中制限がガバナンス議論に入っており、単一のブリッジがトークンの流通供給の一定割合の裏付けを持つことを自動的に制御するサーキットブレーカーの導入が求められている。
回復のタイムライン
DeFi Unitedのロードマップの実行、悪債の分配、rsETH市場の段階的再開は、基本的には30〜60日以内に完了する見込みである。最良のシナリオは、1週間以内に全資本コミットメントが確定し、Arbitrumセキュリティ評議会のガバナンスが7000万USDTの資金分配を承認し、攻撃者によるTHORChainの追加動きがなく、オンチェーンのフォレンジックがさらに複雑化しないことに依存している。既存のrsETHホルダーは、保有を維持しながら監視を続けるべきであり、流動性不足時に売却せず、正式な回復経路が確定するまで待つべきである。より広範なDeFiエコシステムにとって、DeFi Unitedの取り組みは、セクター史上最も強力な危機対応となる可能性があり、成功すればDeFiがブラックスワンイベントを扱う新たな標準を打ち立てることになる。失敗すれば、DeFi保険やブリッジのセキュリティ監査の義務化に向けた規制圧力が避けられなくなる。
攻撃は終了した。回復は始まった。結果は、DeFiの最大手たちが最大の約束を果たせるかどうかにかかっている。
2026年最大のDeFiハッキングから6日後、rsETH危機は最も深刻な回復段階に入った。攻撃は封じ込められた。出血は止まった。しかし、悪債分配、rsETHペッグ復元、多チェーン資金回収をカバーする完全な解決策は今朝も引き続き進行中である。以下は本日確認されたすべての内容である。
攻撃概要 2026年4月18日に何が起こったか
2026年4月18日17:35 UTCに、攻撃者はKelpDAOのLayerZero V2ブリッジをUnichainとEthereumメインネット間で悪用した。ブリッジは壊滅的に弱い1-of-1 DVNに設定されており、LayerZero Labsが運営する単一のバリデータノードがクロスチェーンメッセージの承認権限を完全に持ち、独立した検証なしに操作できた。攻撃者はLayerZeroのDVNが使用するRPCインフラを汚染し、正当なノードをDDoS攻撃でダウンさせてフェイルオーバーを強制し、その後有効なクロスチェーンメッセージを偽装してブリッジを騙し、116,500の未裏付けrsETHトークンを攻撃者管理のアドレスに直接ミントさせた。これらのトークンは即座にAave V3に担保として預けられ、攻撃者は実際の裏付けなしに大量のWETHを借り入れた。総被害額:2億9200万USDT、2026年最大のDeFi脆弱性。
回復進捗 本日確認された内容
回復は進行中だが未完である。Arbitrumセキュリティ評議会は、攻撃に関連するETH約7000万USDTを回収し、今週初めに報告された30,766 ETHから増加した。これらの資金はガバナンスの決定を待つ中間ウォレットに保管されている。ただし、盗まれた資産の大部分はすでにTHORChainを通じて移動されており、完全回収を大きく妨げている。KelpDAOのマルチシグは、攻撃後すぐにコアコントラクトを凍結し、約9500万USDT相当の二次盗難を阻止したことを確認、これにより緊急対応メカニズムが最初の侵害後に正しく作動したことが証明された。全体の回収率は4月24日時点で盗まれた資金の50%未満にとどまっている。
DeFi統一産業連合の結成
本日最も重要な進展は、Aave主導のDeFi United回復イニシアチブの正式拡大である。これは、rsETHの裏付けを安定させ、影響を受けた貸出プラットフォームの悪債を排除するための業界全体の救済努力である。4月24日現在の確定寄付は、Aave創設者のStani Kulechovが自身の資金から5,000 ETHを個人的に寄付し、「Aaveは私の人生の仕事であり、ユーザーのために最良の結果を追求し続ける」と述べている。EtherFiのガバナンスは、1,800人のトークンホルダーから圧倒的な賛同を得て、DAOのトレジャリーから最大5,000 ETHの寄付を承認した。Lido Financeは、rsETHの裏付けギャップに対処するために最大2,500 stETHをコミットした。Golem FoundationとGolem Factoryは、それぞれのトレジャリーから合計1,000 ETHを寄付。LayerZeroもrsETHの裏付け復元に向けた寄付を提案し、Aave、EtherFi、Ethena、Arbitrum、Kelpと密に連携していると述べた。Tydro、Ink Foundation、Mantleも連合に参加し、MantleはAaveの流動性支援のために大規模な構造化ローンを提案した。1週間以内に、関係者と資金分配方法を詳細に記した包括的なロードマップが公開される見込みである。
Aave公式対応 予備資金凍結状況
Aaveのガーディアンは、4月18日18:52 UTCの初期攻撃から77分以内にrsETHとwrsETHの市場で緊急凍結を開始した。4月24日現在、rsETHのリザーブはEthereum Core、Arbitrum、Base、Mantle、Lineaで引き続き停止中であり、Aaveは解決策の進行に伴い最大限の資金回収を促進するための措置と明言している。Aaveのガバナンスは、V3とV4の両方の展開でrsETH市場を無効化した。その他のAaveプールはすべて安全かつ稼働中であり、今回のインシデントはrsETHに限定されており、Aaveプロトコル自体の脆弱性を示すものではない。
より広範なDeFi感染拡大 被害の全体像
感染はKelpDAOをはるかに超えて拡大した。Aaveは6,200百万USDTの純流出を記録し、23%の減少。Morphoは716百万USDTを失い、9%減少。Sky protocolは272百万USDTを失い、4%減少。JupLendは76百万USDTを失い、8%減少。攻撃直後にDeFiの総TVLは約100億USDT減少し、JPMorganはエコシステム全体への影響を200億USDTと推定している。LidoはEarnETHを一時停止し、約9%のTVLがKelpDAOのrsETHに直接露出していたため、事前の資産評価で3百万USDTの流動性バッファを展開し、攻撃前の出金リクエストを処理した。DVV、GGV、EarnUSDはrsETHへの直接的な露出ゼロを確認し、通常通り運営を続けている。SparkLendとFluidはともにrsETHのエクスポージャーに対して緊急停止を実施。利用率に基づく金利は複数の貸出プラットフォームで急騰し、借り手のレバレッジ縮小とポートフォリオ調整を促した。
ユーザ資金 現在の状況(ポジションタイプ別)
ユーザ資金の安全性は、どの製品とチェーンを通じてエクスポージャーを持っていたかに完全に依存している。
EthereumメインネットのrsETHホルダーは、正当なEigenLayerステーキング預金に裏付けられており、その裏付けEigenLayer委任は完全に維持され、侵害されていないことが確認された。Aaveの非rsETHポジションを持つユーザは全て安全で影響を受けていない。Layer 2ネットワーク上でwrapped rsETHを保有するユーザは、ブリッジのリザーブが破損しているため、真の不確実性に直面している。資産の損失分配はまだ正式に決定されていない。流動性不足前にEarnETHの出金申請を行ったユーザは、事前評価での価格で償還される。後続の出金リクエストは流動性条件が正常化した後に処理される。関係するすべてのプロトコルの公式ガイダンスは変わらず、「正式な解決策が発表されるまで、いかなるチェーン上のrsETHとも相互作用しないこと」が推奨されている。
セキュリティパッチ 何が変わったか
この攻撃を可能にした1-of-1 DVN設定は、根本的な脆弱性として特定されており、今後のKelpDAOやLayerZeroの展開には登場しない。LayerZeroは、攻撃前にKelpDAOに対してマルチDVN設定を推奨していたが、そのプロトコルは依然として1-of-1展開を許可していたことを認めた。これに対し、オンチェーンのセキュリティ研究者bantegは、4月19日時点でArbitrum、Base、BSCを含む複数のプロジェクトが依然として1-of-1ブリッジ設定を運用していると公に指摘し、DeFiエコシステム全体で緊急のセキュリティレビューを促した。今後は、少なくとも2-of-3のマルチDVN検証基準を業界の標準として採用し、高価値のブリッジ展開においても自動的なサーキットブレーカーを導入することが求められる。
投資家の感情 恐怖か機会か
rsETHに関する市場のセンチメントは依然非常にネガティブであり、DeFi Unitedの回復ロードマップが正式に公開され、悪債分配が確定するまではその状態が続く。しかし、より広範なDeFiセクターは、資本が影響を受けたプロトコルから無傷の代替へと流れる「避難所取引」の初期兆候を示している。Santimentは、Kelpの崩壊から6日後にこのパターンが出現したことを確認した。DeFi United連合の迅速さと規模は、すでに13,500 ETH以上の資金が確定寄付として誓約されており、過去のDeFi脆弱性回復努力を上回るものであり、エコシステムの成熟を示している。1,800人のEtherFiトークンホルダーが圧倒的に回復資金の投入に投票した事実は、DeFiのガバナンスメカニズムが危機時に高速で動員できることを証明している。
DeFiセキュリティに関する教訓 これが永続的に変えるもの
この攻撃を受けて、DeFiには3つの構造的変化が進行中である。第一に、1-of-1 DVN設定はすべての主要なブリッジプロトコルから排除されつつある。KelpDAOの攻撃は、単一のバリデータの侵害が数億ドルを数分で流出させることを示した。第二に、すべてのチェーンで同時にロック・ミント比率を追跡するリアルタイムの不変性監視が、コアセキュリティ要件として義務付けられる。第三に、ブリッジのTVL集中制限がガバナンス議論に入っており、単一のブリッジがトークンの流通供給の一定割合の裏付けを持つことを自動的に制御するサーキットブレーカーの導入が求められている。
回復のタイムライン
DeFi Unitedのロードマップの実行、悪債の分配、rsETH市場の段階的再開は、基本的には30〜60日以内に完了する見込みである。最良のシナリオは、1週間以内に全資本コミットメントが確定し、Arbitrumセキュリティ評議会のガバナンスが7000万USDTの資金分配を承認し、攻撃者によるTHORChainの追加動きがなく、オンチェーンのフォレンジックがさらに複雑化しないことに依存している。既存のrsETHホルダーは、保有を維持しながら監視を続けるべきであり、流動性不足時に売却せず、正式な回復経路が確定するまで待つべきである。より広範なDeFiエコシステムにとって、DeFi Unitedの取り組みは、セクター史上最も強力な危機対応となる可能性があり、成功すればDeFiがブラックスワンイベントを扱う新たな標準を打ち立てることになる。失敗すれば、DeFi保険やブリッジのセキュリティ監査の義務化に向けた規制圧力が避けられなくなる。
攻撃は終了した。回復は始まった。結果は、DeFiの最大手たちが最大の約束を果たせるかどうかにかかっている。
