LayerZero Labsは、KelpDAOブリッジ攻撃に関するインシデント報告書を公開し、攻撃者が検証ネットワークで使われるRPCインフラを汚染して単一サイナー構成をめぐるポリシー変更を強制した結果、rsETHが約2億9200万ドル相当($292 million)盗まれたと述べています。
概要
- LayerZeroは、KelpDAOが約2億9000万ドル、つまりおよそ116,500 rsETHに相当する規模で悪用され、攻撃はrsETHの単一-DVN設定のみに限定されたとしました。
- 同社によると、予備的な指標は北朝鮮に関連するTraderTraitorを示しており、悪用はプロトコルの欠陥ではなくインフラの侵害だと説明しています。
- LayerZeroは、1/1のDVN設定を使用するアプリケーションに対するメッセージ署名を停止し、影響を受けた統合先をマルチ-DVNの冗長化へと後押しするとしています。
LayerZero LabsはKelpDAOエクスプロイトの詳細な報告を公開し、攻撃者が約116,500 rsETH(約2億9200万ドル相当)を、KelpDAOのクロスチェーン構成で使われる検証レイヤーに紐づく下流インフラを侵害することで盗んだことを確認しました。
同社は、このインシデントはKelpDAOのrsETH設定のみに限定されていたと述べています。なぜなら当該アプリは、LayerZero Labsを唯一の検証者とする1-of-1のDVN構成に依存していたからであり、この設計は、LayerZeroが「冗長性を備えた分散されたマルチ-DVN構成をアプリに使うべきだ」とする従来の推奨に直接反するものだったとLayerZeroは述べています。
声明の中でLayerZeroは、「他のいかなるクロスチェーン資産やアプリケーションにも伝播(contagion)はゼロだった」とし、単一のアプリケーション・レベル設定が失敗しているにもかかわらず、プロトコルのモジュール式セキュリティ・アーキテクチャによって爆風半径(blast radius)が封じ込められたと主張しました。
攻撃はどのように機能したのか {#how-the-attack-worked}
LayerZeroの報告によれば、2026年4月18日の攻撃は、LayerZeroプロトコルを悪用したのではなく、LayerZero LabsのDVNが依拠するRPCインフラを狙ったものでした。
同社によると、攻撃者はDVNで使用されるRPCのリストへのアクセスを取得し、別々のクラスター上で動作する2つのノードを侵害し、op-gethノード上のバイナリを置き換え、その後、他のエンドポイント(内部の監視サービスを含む)には真のデータを返しつつ、検証者に対して偽造されたトランザクションデータを供給するための悪意あるペイロードを使いました。
エクスプロイトを完了するために、攻撃者はさらに、侵害されていないRPCエンドポイントへのDDoS攻撃も仕掛けました。これにより、汚染されたノードへフォールオーバーが発動し、LayerZero LabsのDVNが、実際には発生していなかったトランザクションを確認できるようになったのです。
外部のフォレンジック作業も概ねその説明と一致しています。Chainalysisは、攻撃者は北朝鮮のLazarus Group、具体的にはTraderTraitorと結びついており、スマートコントラクトのバグを悪用したのではなく、内部のRPCノードを汚染して外部側を圧倒することで、単一点の故障に備えた検証セットアップにおいてクロスチェーンメッセージを偽造したのだと述べました。
セキュリティ変更 {#security-changes}
LayerZeroは、即時の対応として、影響を受けたすべてのRPCノードを廃止して置き換え、LayerZero LabsのDVNを稼働に戻し、業界パートナーやSeal911と連携しながら、盗まれた資金を追跡するとともに法執行機関へ連絡したとしています。
さらに重要なのは、同社がリスクのある設定の扱い方を変えていることです。声明の中でLayerZeroは、DVNは「1/1の構成を利用するいかなるアプリケーションからのメッセージも署名せず、またメッセージを保証(attest)もしない」と述べており、KelpDAOの失敗パターンの再発を防ぐことを目的とした直接的な方針転換です。
同社はまた、1/1の構成をまだ使っているプロジェクトに働きかけ、冗長性を備えたマルチ-DVNモデルへ移行させています。これは、実運用上、 enforced safety rails(強制的な安全柵)なしでの設定の柔軟性は許容しすぎだった、と事実上認める形にもなっています。
帰属(アトリビューション)の状況もより固まりました。Chainalysisは、このエクスプロイトを北朝鮮のLazarus Group、具体的にはTraderTraitorに結びつけました。一方でNexus Mutualは、偽造されたメッセージによりKelpDAOのブリッジから2億9200万ドルが46分未満で流出したとし、これが2026年の最大級のDeFi損失の一つになったとしています。
その結果、クロスチェーン・インフラにとっておなじみですが残酷な教訓が浮かび上がります。スマートコントラクトは無傷で生き残り、オフチェーンの信頼レイヤーが十分に弱ければ、プロトコルはそれでも実際には失敗し得るのです。LayerZeroは現在、2億9200万ドル規模のブリッジ窃盗から導くべき正しい結論は、モジュール式セキュリティが失敗したことではなく、「誰でも単一サイナー構成を動かせるようにしていたこと」が本当の過ちだったのだと証明しようとしています。
