KelpDAOは、初期報道によれば、4月18日にLazarus Groupに関連する高度なセキュリティ侵害で$290 百万ドルの損失を被った。特に、TraderTraitorとして知られるある関係者によるものだった。攻撃はLayerZeroのインフラを標的にし、KelpDAOの検証システムにおける設定上の脆弱性を悪用した。David Schwartzは2026年4月20日に、「攻撃は想像していたよりはるかに巧妙で、KelpDAOの怠慢を利用してLayerZeroインフラを狙った」と述べた。
How the Attack Happened
攻撃は単純なエクスプロイトではなく、複数段階のアプローチを用いていた。攻撃者は最初に、LayerZeroの検証ネットワークで使われるRPCシステムを狙い、その後、通常の運用を妨害するためにDDoS攻撃を仕掛けた。システムがバックアップノードに切り替わったとき、攻撃者は決定的な目標を実行した。つまり、これらのバックアップノードはすでに侵害されており、実際には発生していない取引に対して誤ったシグナルを送信し、取引を確定させることができた。注目すべき点として、コアプロトコルやプライベートキーは破られなかった。代わりに、この攻撃はシステムの設定における弱点を悪用し、現代のサイバー脅威の巧妙さを示した。
Single Point of Failure as Root Cause
根本的な脆弱性は、KelpDAOの設定設計に起因していた。このプラットフォームは1-of-1の検証体制に依存しており、単一の検証者だけがバックアップの検証レイヤーなしで取引を確認していた。その単一システムが侵害されると、攻撃は二次的な防御なしで成功した。専門家は、これが明確な単一障害点(Single Point of Failure)を生み出していたと指摘した。LayerZeroは以前、複数の検証者を使うことを推奨しており、多層の検証体制なら攻撃を完全に防げた可能性があった。
Impact and Scope
損失は大きかったものの、被害は特定の領域にとどまった。報告によれば、侵害はKelpDAOのrsETHプロダクトにのみ影響し、他の資産やアプリケーションは影響を受けていない。LayerZeroは侵害されたシステムをすぐに置き換え、通常の運用を復旧した。チームは、盗まれた資金を追跡するために捜査当局と連携している。このインシデントは、高度なシステムにおける設定セキュリティに関して業界全体の懸念を引き起こした。
Implications for Crypto Security
この事件は、セキュリティがコードの強度だけでなく、システムの設定および運用・管理の実践にも依存することを示している。大規模な侵害に歴史的に結びつけられてきたサイバー集団であるLazarus Groupの関与は、彼らの手口が進化し続けているため、重大な懸念を加えている。今後、プロジェクトは冗長化やリスク制御の仕組みをますます優先する可能性がある。多層の検証は業界標準になり得る。KelpDAOの攻撃は、システムアーキテクチャにおけるたった1つの弱点でも、巨額の損失につながり得るという警告だ。暗号資産の領域が拡大するにつれ、セキュリティの実践はそれに比例して進化する必要がある。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
イーサリアムのフィッシング攻撃で$585K から4人のユーザーが被害、単独の被害者は$221K WBTCを失う
協調的なイーサリアムのフィッシング攻撃により、4人の被害者から$585,000が流出しました。だましのリンクを通じてユーザーの権限を悪用したのです。この事件は、正当性を装っていても、ソーシャルエンジニアリングによって資金が急速に失われる可能性を示しています。
GateNews49分前
署名内容にご注意ください!Vercelがサイバー攻撃で身代金200万ドルを要求され、暗号プロトコルのフロントエンドセキュリティに警報が発動
クラウド開発プラットフォームのVercelが4月19日にハッキングを受けました。攻撃者は、従業員が使用していたサードパーティのAIツールを通じてアクセス権限を取得し、200万ドルの身代金を要求しています。機密データはアクセスされていないものの、他のデータが悪用された可能性があります。この件は暗号コミュニティにセキュリティ上の懸念を引き起こしており、Vercelは現在調査を進めており、ユーザーに鍵の変更を推奨しています。
ChainNewsAbmedia2時間前
LayerZeroはKelp DAOの2.92億件のイベントに回答:Kelpが独自に1-of-1 DVNを設定し、攻撃者は北朝鮮のLazarusだと指摘
LayerZeroはKelp DAOの2.92億ドルが侵害された事件について声明を発表し、Kelpが自ら選んだ1-of-1 DVNの設定が事件を可能にしたとして非難しました。攻撃者は北朝鮮のLazarusグループです。LayerZeroは、この事件は設定の選択に起因するものであり、今後はこの種の脆弱な設定をサポートしないと強調しました。さらに、責任の帰属については依然として議論があり、補償の提案は示されていません。
ChainNewsAbmedia3時間前
DeFiハッカーが4月に6億ドルを盗み取る、Kelp DAOとDriftが月間損失の95%を占める
2026 年 4 月はわずか 20 日間で、暗号プロトコルはハッカー攻撃によって 6.06 億ドル超を失い、2025 年 2 月の取引所 14 億ドルのデータ漏えい事件以降で最も深刻な単月の損失記録となりました。KelpDAO と Drift Protocol の 2 件の攻撃は、4 月の損失の 95% を占め、また 2026 年の現在までの累計損失 7.718 億ドルの 75% に相当します。
MarketWhisper3時間前
Vercelの侵害はAIツール Context.ai の侵害に関連:暗号フロントエンドにとってリスクが高まる
Vercelは、侵害されたAIツールによって引き起こされたセキュリティ侵害を確認し、従業員および顧客データの盗難につながったと発表した。この事件はWeb3エコシステムに対するリスクをはらんでおり、攻撃者は盗まれたデータを$2 百万ドルで売ろうとしている。Vercelは法執行機関およびインシデント対応の専門家とともに状況に対処している。
GateNews3時間前
リップルのCTO:ケルプDAOのエクスプロイトはブリッジのセキュリティ上のトレードオフを反映している
RippleのCTO EmeritusであるDavid Schwartzは、$292 百万Kelp DAOのエクスプロイトに続くブリッジのセキュリティ脆弱性を分析しました。彼は、プロバイダーが強固なセキュリティよりも利便性を優先し、不可欠な防御機能を損なっていたと指摘しました。Kelp DAOの侵害は、プライベートキーの漏えいに起因しており、彼らのLayerZeroの実装における簡略化されたセキュリティ設定によって悪化していました。
CryptoFrontier6時間前
