広場
最新
注目
ニュース
プロフィール
ポスト
Mr_Thynk
2026-04-24 13:16:28
フォロー
#rsETHAttackUpdate
2026年最大のDeFiハックから6日後、rsETH危機は最も重要な回復段階に入った。攻撃は封じ込められた。出血は止まった。しかし、悪債分配、rsETHペッグ復元、多チェーン資金回収をカバーする完全な解決策は今朝もなお進行中である。以下は本日確認されたすべての内容である。
攻撃概要 2026年4月18日に何が起きたか
2026年4月18日UTC17:35、攻撃者はKelpDAOのLayerZero V2ブリッジを通じてUnichainとEthereumメインネット間のブリッジを悪用した。ブリッジは壊滅的に弱い1-of-1 DVNに設定されており、LayerZero Labsが運営する単一のバリデータノードがクロスチェーンメッセージの承認権限を完全に持ち、独立した検証なしに操作できた。攻撃者はLayerZeroのDVNが使用するRPCインフラを汚染し、正当なノードに対してDDoS攻撃を仕掛けてフェイルオーバーを強制し、その後有効なクロスチェーンメッセージを偽装して、ブリッジを騙し、116,500の未裏付けrsETHトークンを攻撃者管理のアドレスに直接ミントさせた。これらのトークンは即座にAave V3に担保として預けられ、攻撃者は実際の裏付けなしに大量のWETHを借り入れた。総被害額:2億9200万USDT、2026年最大のDeFi脆弱性。
回復進捗 今日は何が確認されたか
回復は進行中だが未完の状態である。Arbitrumセキュリティ評議会は、攻撃に関連するETH約7000万USDTを回収し、今週初めに報告された30,766 ETHから増加した。これらの資金はガバナンスの決定を待つ中間ウォレットに留まっている。ただし、盗まれた資産の大部分はすでにTHORChainを通じて移動されており、完全回収を大きく妨げている。KelpDAOのマルチシグは、攻撃が判明した直後にコアコントラクトを凍結し、約9500万USDT相当の二次盗難を阻止したことを確認した。全体の回収率は4月24日時点で総盗難資金の50%未満にとどまっている。
DeFi連合産業連合の結成
今日最も重要な進展は、DeFi United回復イニシアチブの正式拡大である。これはAave主導の業界全体の救済努力であり、rsETHの裏付けを安定させ、影響を受けた貸出プラットフォームの悪債を排除することを目的としている。4月24日現在の確定寄付は、Aave創設者のStani Kulechovが自身の資金から5,000 ETHを個人的に寄付し、「Aaveは私の人生の仕事であり、ユーザーのために最良の結果を追求し続けている」と述べている。EtherFiのガバナンスは、1,800人のトークンホルダーから圧倒的な賛成を得て、DAOのトレジャリーから最大5,000 ETHの寄付を承認した。Lido Financeは、rsETHの裏付けギャップに対処するために最大2,500 stETHをコミットした。Golem FoundationとGolem Factoryは、それぞれのトレジャリーから合計1,000 ETHを寄付した。LayerZeroもrsETHの裏付け復元に向けた寄付を提案し、Aave、EtherFi、Ethena、Arbitrum、Kelpと密に連携していると述べた。Tydro、Ink Foundation、Mantleも連合に参加し、MantleはAaveの流動性支援のために大規模な構造化ローンを提案した。1週間以内に、関係者と資金分配方法を詳細に示した包括的なロードマップが公開される見込みである。
Aave公式対応 予備資金凍結状況
Aaveのガーディアンは、4月18日UTC18:52の攻撃から77分以内にrsETHとwrsETHの市場に緊急凍結を開始した。4月24日現在、rsETHのリザーブはEthereum Core、Arbitrum、Base、Mantle、Lineaで引き続き停止中であり、Aaveは解決策の進行に伴い最大限の資金回収を促進するための措置だと明言している。Aaveのガバナンスは、V3とV4の両方の展開においてrsETH市場を無効化した。その他のAaveプールはすべて安全かつ稼働中であり、今回のインシデントはrsETHに限定されており、Aaveプロトコル自体の脆弱性を示すものではない。
より広範なDeFi感染拡大 被害の全体像
感染はKelpDAOをはるかに超えて拡大した。Aaveは6,200百万USDTの純流出を記録し、23%の減少。Morphoは716百万USDTを失い、9%減少。Skyプロトコルは272百万USDTを失い、4%減少。JupLendは76百万USDTを失い、8%減少。攻撃直後のDeFi総TVLは約100億USDT減少し、JPMorganはエコシステム全体への影響を200億USDTと推定している。LidoはEarnETHを一時停止し、約9%のTVLがKelpDAOのrsETHに直接露出していたため、事前の引き出しリクエストに対して30万USDTの流動性バッファを展開し、事前攻撃時の評価額で引き出しを処理した。DVV、GGV、EarnUSD(Lido)はrsETHへの直接的な露出ゼロを確認し、通常通り運営を続けている。SparkLendとFluidはともにrsETHのエクスポージャーに対して緊急停止を実施した。利用率に基づく金利は複数の貸出プラットフォームで急騰し、借り手のレバレッジ縮小とポートフォリオ調整を促した。
ユーザ資金 現状とポジションタイプ別
ユーザ資金の安全性は、どの製品とチェーンを通じてエクスポージャーを持っていたかに完全に依存している。
EthereumメインネットのrsETHホルダーは、正当なEigenLayerステーキング預金に裏付けられており、EigenLayerの委任は完全に維持されており、侵害されていない。Aaveの非rsETHポジションを持つユーザは全て安全で影響を受けていない。Layer 2ネットワーク上でwrapped rsETHを保有するユーザは、ブリッジのリザーブが破損しているため、真の不確実性に直面している。資産の損失分配はまだ正式に決定されていない。流動性不足前にEarnETHの引き出しを申請したユーザは、事前の評価額で償還される。後続の引き出しリクエストは、流動性条件が正常化した後に処理される。すべての関係プロトコルからの公式ガイダンスは変わらず、「正式な解決策が発表されるまで、いかなるチェーン上でもrsETHとやり取りしないこと」を推奨している。
セキュリティパッチ 何が変わったか
この攻撃を可能にした1-of-1 DVN設定は、根本的な脆弱性として特定されており、今後のKelpDAOやLayerZeroの展開には登場しない。LayerZeroは、攻撃前にKelpDAOに対してマルチDVN設定を推奨していたが、依然として1-of-1展開を許可していたことを認めた。これに対し、オンチェーンのセキュリティ研究者bantegは、4月19日時点でArbitrum、Base、BSCを含む複数のプロジェクトが依然として1-of-1ブリッジ設定を運用していると公に指摘し、緊急のセキュリティレビューを促した。業界標準として、今後は少なくとも2-of-3のマルチDVN検証基準を採用することが決定された。
投資家の感情 恐怖か機会か
rsETHに関する市場のセンチメントは依然非常にネガティブであり、DeFi Unitedの回復ロードマップが正式に公開され、悪債分配が確定するまではその状態が続く。しかし、より広範なDeFiセクターは、資本が影響を受けたプロトコルから無傷の代替へと流れる「避難所取引」の兆候を早期に示している。Santimentは、Kelpの崩壊から6日後にこのパターンが出現したことを確認した。DeFi Unitedの規模とスピードは、すでに13,500 ETH以上の資金が誓約されており、過去のDeFiハック回復努力を超えるものであり、エコシステムの成熟を示している。1,800人のEtherFiトークンホルダーが圧倒的に回復資金の投入に賛成票を投じたことは、DeFiのガバナンスメカニズムが危機時に迅速に動員できることを証明している。
DeFiセキュリティに関する教訓 これが永続的に変えるもの
この攻撃の直接的な結果として、DeFiには3つの構造的変化が進行中である。第一に、1-of-1 DVN設定はすべての主要なブリッジプロトコルから排除されつつある。KelpDAOの攻撃は、単一のバリデータの侵害が数億ドルを数分で流出させる可能性を示した。第二に、すべてのチェーンで同時にロック・ミント比率を追跡するリアルタイムの不変性監視が、セキュリティのコア要件として義務付けられる。第三に、ブリッジのTVL集中制限がガバナンス議論に入っており、単一のブリッジがトークンの流通供給の一定割合の裏付けを持つことを自動的に遮断する仕組みが導入されつつある。
回復のタイムライン
DeFi Unitedのロードマップの実行には、標準的なケースで30〜60日かかる見込みである。悪債の分配とrsETH市場の段階的再開は、Ethereumメインネットから始まり、各チェーンごとに進められる。rsETH回復の楽観的シナリオは、次の3つの変数が収束することに依存している:1週間以内に全資本コミットメントが確定、Arbitrumセキュリティ評議会のガバナンスが7000万USDTの回収資金分配を承認、攻撃者によるTHORChainの追加動きがなく、オンチェーンのフォレンジックをさらに複雑にしないこと。既存のrsETHホルダーにとっては、これはホールドと監視の状況であり、流動性不足に売ることや、正式な回復経路が確認されるまで買うことは避けるべきである。より広範なDeFiエコシステムにとって、DeFi Unitedの取り組みは、セクター史上最も強力な危機対応となる可能性がある。成功すれば、DeFiがブラックスワンイベントを扱う新たな標準となる。失敗すれば、DeFi保険やブリッジのセキュリティ監査の義務化に向けた規制圧力が避けられなくなる。
攻撃は終了した。回復は始まった。結果は、DeFiの最大の名前たちが最大のコミットメントを果たせるかどうかにかかっている。
原文表示
Falcon_Official
2026-04-24 12:08:45
#rsETHAttackUpdate
2026年最大のDeFiハッキングから6日後、rsETH危機は最も深刻な回復段階に入った。攻撃は封じ込められた。出血は止まった。しかし、悪債分配、rsETHペッグ復元、多チェーン資金回収をカバーする完全な解決策は今朝も引き続き進行中である。以下は本日確認されたすべての内容である。
攻撃概要 2026年4月18日に何が起こったか
2026年4月18日17:35 UTCに、攻撃者はKelpDAOのLayerZero V2ブリッジをUnichainとEthereumメインネット間で悪用した。ブリッジは壊滅的に弱い1-of-1 DVNに設定されており、LayerZero Labsが運営する単一のバリデータノードがクロスチェーンメッセージの承認権限を完全に持ち、独立した検証なしに操作できた。攻撃者はLayerZeroのDVNが使用するRPCインフラを汚染し、正当なノードをDDoS攻撃でダウンさせてフェイルオーバーを強制し、その後有効なクロスチェーンメッセージを偽装してブリッジを騙し、116,500の未裏付けrsETHトークンを攻撃者管理のアドレスに直接ミントさせた。これらのトークンは即座にAave V3に担保として預けられ、攻撃者は実際の裏付けなしに大量のWETHを借り入れた。総被害額:2億9200万USDT、2026年最大のDeFi脆弱性。
回復進捗 本日確認された内容
回復は進行中だが未完である。Arbitrumセキュリティ評議会は、攻撃に関連するETH約7000万USDTを回収し、今週初めに報告された30,766 ETHから増加した。これらの資金はガバナンスの決定を待つ中間ウォレットに保管されている。ただし、盗まれた資産の大部分はすでにTHORChainを通じて移動されており、完全回収を大きく妨げている。KelpDAOのマルチシグは、攻撃後すぐにコアコントラクトを凍結し、約9500万USDT相当の二次盗難を阻止したことを確認、これにより緊急対応メカニズムが最初の侵害後に正しく作動したことが証明された。全体の回収率は4月24日時点で盗まれた資金の50%未満にとどまっている。
DeFi統一産業連合の結成
本日最も重要な進展は、Aave主導のDeFi United回復イニシアチブの正式拡大である。これは、rsETHの裏付けを安定させ、影響を受けた貸出プラットフォームの悪債を排除するための業界全体の救済努力である。4月24日現在の確定寄付は、Aave創設者のStani Kulechovが自身の資金から5,000 ETHを個人的に寄付し、「Aaveは私の人生の仕事であり、ユーザーのために最良の結果を追求し続ける」と述べている。EtherFiのガバナンスは、1,800人のトークンホルダーから圧倒的な賛同を得て、DAOのトレジャリーから最大5,000 ETHの寄付を承認した。Lido Financeは、rsETHの裏付けギャップに対処するために最大2,500 stETHをコミットした。Golem FoundationとGolem Factoryは、それぞれのトレジャリーから合計1,000 ETHを寄付。LayerZeroもrsETHの裏付け復元に向けた寄付を提案し、Aave、EtherFi、Ethena、Arbitrum、Kelpと密に連携していると述べた。Tydro、Ink Foundation、Mantleも連合に参加し、MantleはAaveの流動性支援のために大規模な構造化ローンを提案した。1週間以内に、関係者と資金分配方法を詳細に記した包括的なロードマップが公開される見込みである。
Aave公式対応 予備資金凍結状況
Aaveのガーディアンは、4月18日18:52 UTCの初期攻撃から77分以内にrsETHとwrsETHの市場で緊急凍結を開始した。4月24日現在、rsETHのリザーブはEthereum Core、Arbitrum、Base、Mantle、Lineaで引き続き停止中であり、Aaveは解決策の進行に伴い最大限の資金回収を促進するための措置と明言している。Aaveのガバナンスは、V3とV4の両方の展開でrsETH市場を無効化した。その他のAaveプールはすべて安全かつ稼働中であり、今回のインシデントはrsETHに限定されており、Aaveプロトコル自体の脆弱性を示すものではない。
より広範なDeFi感染拡大 被害の全体像
感染はKelpDAOをはるかに超えて拡大した。Aaveは6,200百万USDTの純流出を記録し、23%の減少。Morphoは716百万USDTを失い、9%減少。Sky protocolは272百万USDTを失い、4%減少。JupLendは76百万USDTを失い、8%減少。攻撃直後にDeFiの総TVLは約100億USDT減少し、JPMorganはエコシステム全体への影響を200億USDTと推定している。LidoはEarnETHを一時停止し、約9%のTVLがKelpDAOのrsETHに直接露出していたため、事前の資産評価で3百万USDTの流動性バッファを展開し、攻撃前の出金リクエストを処理した。DVV、GGV、EarnUSDはrsETHへの直接的な露出ゼロを確認し、通常通り運営を続けている。SparkLendとFluidはともにrsETHのエクスポージャーに対して緊急停止を実施。利用率に基づく金利は複数の貸出プラットフォームで急騰し、借り手のレバレッジ縮小とポートフォリオ調整を促した。
ユーザ資金 現在の状況(ポジションタイプ別)
ユーザ資金の安全性は、どの製品とチェーンを通じてエクスポージャーを持っていたかに完全に依存している。
EthereumメインネットのrsETHホルダーは、正当なEigenLayerステーキング預金に裏付けられており、その裏付けEigenLayer委任は完全に維持され、侵害されていないことが確認された。Aaveの非rsETHポジションを持つユーザは全て安全で影響を受けていない。Layer 2ネットワーク上でwrapped rsETHを保有するユーザは、ブリッジのリザーブが破損しているため、真の不確実性に直面している。資産の損失分配はまだ正式に決定されていない。流動性不足前にEarnETHの出金申請を行ったユーザは、事前評価での価格で償還される。後続の出金リクエストは流動性条件が正常化した後に処理される。関係するすべてのプロトコルの公式ガイダンスは変わらず、「正式な解決策が発表されるまで、いかなるチェーン上のrsETHとも相互作用しないこと」が推奨されている。
セキュリティパッチ 何が変わったか
この攻撃を可能にした1-of-1 DVN設定は、根本的な脆弱性として特定されており、今後のKelpDAOやLayerZeroの展開には登場しない。LayerZeroは、攻撃前にKelpDAOに対してマルチDVN設定を推奨していたが、そのプロトコルは依然として1-of-1展開を許可していたことを認めた。これに対し、オンチェーンのセキュリティ研究者bantegは、4月19日時点でArbitrum、Base、BSCを含む複数のプロジェクトが依然として1-of-1ブリッジ設定を運用していると公に指摘し、DeFiエコシステム全体で緊急のセキュリティレビューを促した。今後は、少なくとも2-of-3のマルチDVN検証基準を業界の標準として採用し、高価値のブリッジ展開においても自動的なサーキットブレーカーを導入することが求められる。
投資家の感情 恐怖か機会か
rsETHに関する市場のセンチメントは依然非常にネガティブであり、DeFi Unitedの回復ロードマップが正式に公開され、悪債分配が確定するまではその状態が続く。しかし、より広範なDeFiセクターは、資本が影響を受けたプロトコルから無傷の代替へと流れる「避難所取引」の初期兆候を示している。Santimentは、Kelpの崩壊から6日後にこのパターンが出現したことを確認した。DeFi United連合の迅速さと規模は、すでに13,500 ETH以上の資金が確定寄付として誓約されており、過去のDeFi脆弱性回復努力を上回るものであり、エコシステムの成熟を示している。1,800人のEtherFiトークンホルダーが圧倒的に回復資金の投入に投票した事実は、DeFiのガバナンスメカニズムが危機時に高速で動員できることを証明している。
DeFiセキュリティに関する教訓 これが永続的に変えるもの
この攻撃を受けて、DeFiには3つの構造的変化が進行中である。第一に、1-of-1 DVN設定はすべての主要なブリッジプロトコルから排除されつつある。KelpDAOの攻撃は、単一のバリデータの侵害が数億ドルを数分で流出させることを示した。第二に、すべてのチェーンで同時にロック・ミント比率を追跡するリアルタイムの不変性監視が、コアセキュリティ要件として義務付けられる。第三に、ブリッジのTVL集中制限がガバナンス議論に入っており、単一のブリッジがトークンの流通供給の一定割合の裏付けを持つことを自動的に制御するサーキットブレーカーの導入が求められている。
回復のタイムライン
DeFi Unitedのロードマップの実行、悪債の分配、rsETH市場の段階的再開は、基本的には30〜60日以内に完了する見込みである。最良のシナリオは、1週間以内に全資本コミットメントが確定し、Arbitrumセキュリティ評議会のガバナンスが7000万USDTの資金分配を承認し、攻撃者によるTHORChainの追加動きがなく、オンチェーンのフォレンジックがさらに複雑化しないことに依存している。既存のrsETHホルダーは、保有を維持しながら監視を続けるべきであり、流動性不足時に売却せず、正式な回復経路が確定するまで待つべきである。より広範なDeFiエコシステムにとって、DeFi Unitedの取り組みは、セクター史上最も強力な危機対応となる可能性があり、成功すればDeFiがブラックスワンイベントを扱う新たな標準を打ち立てることになる。失敗すれば、DeFi保険やブリッジのセキュリティ監査の義務化に向けた規制圧力が避けられなくなる。
攻撃は終了した。回復は始まった。結果は、DeFiの最大手たちが最大の約束を果たせるかどうかにかかっている。
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については
免責事項
をご覧ください。
AI生成コンテンツが含まれています
報酬
いいね
コメント
リポスト
共有
コメント
コメントを追加
コメントを追加
コメント
コメントなし
人気の話題
もっと見る
#
WCTCTradingKingPK
153.59K 人気度
#
CryptoMarketSeesVolatility
218.88K 人気度
#
IsraelStrikesIranBTCPlunges
31.32K 人気度
#
rsETHAttackUpdate
66.5K 人気度
#
US-IranTalksStall
172.76K 人気度
ピン
サイトマップ
#rsETHAttackUpdate
2026年最大のDeFiハックから6日後、rsETH危機は最も重要な回復段階に入った。攻撃は封じ込められた。出血は止まった。しかし、悪債分配、rsETHペッグ復元、多チェーン資金回収をカバーする完全な解決策は今朝もなお進行中である。以下は本日確認されたすべての内容である。
攻撃概要 2026年4月18日に何が起きたか
2026年4月18日UTC17:35、攻撃者はKelpDAOのLayerZero V2ブリッジを通じてUnichainとEthereumメインネット間のブリッジを悪用した。ブリッジは壊滅的に弱い1-of-1 DVNに設定されており、LayerZero Labsが運営する単一のバリデータノードがクロスチェーンメッセージの承認権限を完全に持ち、独立した検証なしに操作できた。攻撃者はLayerZeroのDVNが使用するRPCインフラを汚染し、正当なノードに対してDDoS攻撃を仕掛けてフェイルオーバーを強制し、その後有効なクロスチェーンメッセージを偽装して、ブリッジを騙し、116,500の未裏付けrsETHトークンを攻撃者管理のアドレスに直接ミントさせた。これらのトークンは即座にAave V3に担保として預けられ、攻撃者は実際の裏付けなしに大量のWETHを借り入れた。総被害額:2億9200万USDT、2026年最大のDeFi脆弱性。
回復進捗 今日は何が確認されたか
回復は進行中だが未完の状態である。Arbitrumセキュリティ評議会は、攻撃に関連するETH約7000万USDTを回収し、今週初めに報告された30,766 ETHから増加した。これらの資金はガバナンスの決定を待つ中間ウォレットに留まっている。ただし、盗まれた資産の大部分はすでにTHORChainを通じて移動されており、完全回収を大きく妨げている。KelpDAOのマルチシグは、攻撃が判明した直後にコアコントラクトを凍結し、約9500万USDT相当の二次盗難を阻止したことを確認した。全体の回収率は4月24日時点で総盗難資金の50%未満にとどまっている。
DeFi連合産業連合の結成
今日最も重要な進展は、DeFi United回復イニシアチブの正式拡大である。これはAave主導の業界全体の救済努力であり、rsETHの裏付けを安定させ、影響を受けた貸出プラットフォームの悪債を排除することを目的としている。4月24日現在の確定寄付は、Aave創設者のStani Kulechovが自身の資金から5,000 ETHを個人的に寄付し、「Aaveは私の人生の仕事であり、ユーザーのために最良の結果を追求し続けている」と述べている。EtherFiのガバナンスは、1,800人のトークンホルダーから圧倒的な賛成を得て、DAOのトレジャリーから最大5,000 ETHの寄付を承認した。Lido Financeは、rsETHの裏付けギャップに対処するために最大2,500 stETHをコミットした。Golem FoundationとGolem Factoryは、それぞれのトレジャリーから合計1,000 ETHを寄付した。LayerZeroもrsETHの裏付け復元に向けた寄付を提案し、Aave、EtherFi、Ethena、Arbitrum、Kelpと密に連携していると述べた。Tydro、Ink Foundation、Mantleも連合に参加し、MantleはAaveの流動性支援のために大規模な構造化ローンを提案した。1週間以内に、関係者と資金分配方法を詳細に示した包括的なロードマップが公開される見込みである。
Aave公式対応 予備資金凍結状況
Aaveのガーディアンは、4月18日UTC18:52の攻撃から77分以内にrsETHとwrsETHの市場に緊急凍結を開始した。4月24日現在、rsETHのリザーブはEthereum Core、Arbitrum、Base、Mantle、Lineaで引き続き停止中であり、Aaveは解決策の進行に伴い最大限の資金回収を促進するための措置だと明言している。Aaveのガバナンスは、V3とV4の両方の展開においてrsETH市場を無効化した。その他のAaveプールはすべて安全かつ稼働中であり、今回のインシデントはrsETHに限定されており、Aaveプロトコル自体の脆弱性を示すものではない。
より広範なDeFi感染拡大 被害の全体像
感染はKelpDAOをはるかに超えて拡大した。Aaveは6,200百万USDTの純流出を記録し、23%の減少。Morphoは716百万USDTを失い、9%減少。Skyプロトコルは272百万USDTを失い、4%減少。JupLendは76百万USDTを失い、8%減少。攻撃直後のDeFi総TVLは約100億USDT減少し、JPMorganはエコシステム全体への影響を200億USDTと推定している。LidoはEarnETHを一時停止し、約9%のTVLがKelpDAOのrsETHに直接露出していたため、事前の引き出しリクエストに対して30万USDTの流動性バッファを展開し、事前攻撃時の評価額で引き出しを処理した。DVV、GGV、EarnUSD(Lido)はrsETHへの直接的な露出ゼロを確認し、通常通り運営を続けている。SparkLendとFluidはともにrsETHのエクスポージャーに対して緊急停止を実施した。利用率に基づく金利は複数の貸出プラットフォームで急騰し、借り手のレバレッジ縮小とポートフォリオ調整を促した。
ユーザ資金 現状とポジションタイプ別
ユーザ資金の安全性は、どの製品とチェーンを通じてエクスポージャーを持っていたかに完全に依存している。
EthereumメインネットのrsETHホルダーは、正当なEigenLayerステーキング預金に裏付けられており、EigenLayerの委任は完全に維持されており、侵害されていない。Aaveの非rsETHポジションを持つユーザは全て安全で影響を受けていない。Layer 2ネットワーク上でwrapped rsETHを保有するユーザは、ブリッジのリザーブが破損しているため、真の不確実性に直面している。資産の損失分配はまだ正式に決定されていない。流動性不足前にEarnETHの引き出しを申請したユーザは、事前の評価額で償還される。後続の引き出しリクエストは、流動性条件が正常化した後に処理される。すべての関係プロトコルからの公式ガイダンスは変わらず、「正式な解決策が発表されるまで、いかなるチェーン上でもrsETHとやり取りしないこと」を推奨している。
セキュリティパッチ 何が変わったか
この攻撃を可能にした1-of-1 DVN設定は、根本的な脆弱性として特定されており、今後のKelpDAOやLayerZeroの展開には登場しない。LayerZeroは、攻撃前にKelpDAOに対してマルチDVN設定を推奨していたが、依然として1-of-1展開を許可していたことを認めた。これに対し、オンチェーンのセキュリティ研究者bantegは、4月19日時点でArbitrum、Base、BSCを含む複数のプロジェクトが依然として1-of-1ブリッジ設定を運用していると公に指摘し、緊急のセキュリティレビューを促した。業界標準として、今後は少なくとも2-of-3のマルチDVN検証基準を採用することが決定された。
投資家の感情 恐怖か機会か
rsETHに関する市場のセンチメントは依然非常にネガティブであり、DeFi Unitedの回復ロードマップが正式に公開され、悪債分配が確定するまではその状態が続く。しかし、より広範なDeFiセクターは、資本が影響を受けたプロトコルから無傷の代替へと流れる「避難所取引」の兆候を早期に示している。Santimentは、Kelpの崩壊から6日後にこのパターンが出現したことを確認した。DeFi Unitedの規模とスピードは、すでに13,500 ETH以上の資金が誓約されており、過去のDeFiハック回復努力を超えるものであり、エコシステムの成熟を示している。1,800人のEtherFiトークンホルダーが圧倒的に回復資金の投入に賛成票を投じたことは、DeFiのガバナンスメカニズムが危機時に迅速に動員できることを証明している。
DeFiセキュリティに関する教訓 これが永続的に変えるもの
この攻撃の直接的な結果として、DeFiには3つの構造的変化が進行中である。第一に、1-of-1 DVN設定はすべての主要なブリッジプロトコルから排除されつつある。KelpDAOの攻撃は、単一のバリデータの侵害が数億ドルを数分で流出させる可能性を示した。第二に、すべてのチェーンで同時にロック・ミント比率を追跡するリアルタイムの不変性監視が、セキュリティのコア要件として義務付けられる。第三に、ブリッジのTVL集中制限がガバナンス議論に入っており、単一のブリッジがトークンの流通供給の一定割合の裏付けを持つことを自動的に遮断する仕組みが導入されつつある。
回復のタイムライン
DeFi Unitedのロードマップの実行には、標準的なケースで30〜60日かかる見込みである。悪債の分配とrsETH市場の段階的再開は、Ethereumメインネットから始まり、各チェーンごとに進められる。rsETH回復の楽観的シナリオは、次の3つの変数が収束することに依存している:1週間以内に全資本コミットメントが確定、Arbitrumセキュリティ評議会のガバナンスが7000万USDTの回収資金分配を承認、攻撃者によるTHORChainの追加動きがなく、オンチェーンのフォレンジックをさらに複雑にしないこと。既存のrsETHホルダーにとっては、これはホールドと監視の状況であり、流動性不足に売ることや、正式な回復経路が確認されるまで買うことは避けるべきである。より広範なDeFiエコシステムにとって、DeFi Unitedの取り組みは、セクター史上最も強力な危機対応となる可能性がある。成功すれば、DeFiがブラックスワンイベントを扱う新たな標準となる。失敗すれば、DeFi保険やブリッジのセキュリティ監査の義務化に向けた規制圧力が避けられなくなる。
攻撃は終了した。回復は始まった。結果は、DeFiの最大の名前たちが最大のコミットメントを果たせるかどうかにかかっている。
2026年最大のDeFiハッキングから6日後、rsETH危機は最も深刻な回復段階に入った。攻撃は封じ込められた。出血は止まった。しかし、悪債分配、rsETHペッグ復元、多チェーン資金回収をカバーする完全な解決策は今朝も引き続き進行中である。以下は本日確認されたすべての内容である。
攻撃概要 2026年4月18日に何が起こったか
2026年4月18日17:35 UTCに、攻撃者はKelpDAOのLayerZero V2ブリッジをUnichainとEthereumメインネット間で悪用した。ブリッジは壊滅的に弱い1-of-1 DVNに設定されており、LayerZero Labsが運営する単一のバリデータノードがクロスチェーンメッセージの承認権限を完全に持ち、独立した検証なしに操作できた。攻撃者はLayerZeroのDVNが使用するRPCインフラを汚染し、正当なノードをDDoS攻撃でダウンさせてフェイルオーバーを強制し、その後有効なクロスチェーンメッセージを偽装してブリッジを騙し、116,500の未裏付けrsETHトークンを攻撃者管理のアドレスに直接ミントさせた。これらのトークンは即座にAave V3に担保として預けられ、攻撃者は実際の裏付けなしに大量のWETHを借り入れた。総被害額:2億9200万USDT、2026年最大のDeFi脆弱性。
回復進捗 本日確認された内容
回復は進行中だが未完である。Arbitrumセキュリティ評議会は、攻撃に関連するETH約7000万USDTを回収し、今週初めに報告された30,766 ETHから増加した。これらの資金はガバナンスの決定を待つ中間ウォレットに保管されている。ただし、盗まれた資産の大部分はすでにTHORChainを通じて移動されており、完全回収を大きく妨げている。KelpDAOのマルチシグは、攻撃後すぐにコアコントラクトを凍結し、約9500万USDT相当の二次盗難を阻止したことを確認、これにより緊急対応メカニズムが最初の侵害後に正しく作動したことが証明された。全体の回収率は4月24日時点で盗まれた資金の50%未満にとどまっている。
DeFi統一産業連合の結成
本日最も重要な進展は、Aave主導のDeFi United回復イニシアチブの正式拡大である。これは、rsETHの裏付けを安定させ、影響を受けた貸出プラットフォームの悪債を排除するための業界全体の救済努力である。4月24日現在の確定寄付は、Aave創設者のStani Kulechovが自身の資金から5,000 ETHを個人的に寄付し、「Aaveは私の人生の仕事であり、ユーザーのために最良の結果を追求し続ける」と述べている。EtherFiのガバナンスは、1,800人のトークンホルダーから圧倒的な賛同を得て、DAOのトレジャリーから最大5,000 ETHの寄付を承認した。Lido Financeは、rsETHの裏付けギャップに対処するために最大2,500 stETHをコミットした。Golem FoundationとGolem Factoryは、それぞれのトレジャリーから合計1,000 ETHを寄付。LayerZeroもrsETHの裏付け復元に向けた寄付を提案し、Aave、EtherFi、Ethena、Arbitrum、Kelpと密に連携していると述べた。Tydro、Ink Foundation、Mantleも連合に参加し、MantleはAaveの流動性支援のために大規模な構造化ローンを提案した。1週間以内に、関係者と資金分配方法を詳細に記した包括的なロードマップが公開される見込みである。
Aave公式対応 予備資金凍結状況
Aaveのガーディアンは、4月18日18:52 UTCの初期攻撃から77分以内にrsETHとwrsETHの市場で緊急凍結を開始した。4月24日現在、rsETHのリザーブはEthereum Core、Arbitrum、Base、Mantle、Lineaで引き続き停止中であり、Aaveは解決策の進行に伴い最大限の資金回収を促進するための措置と明言している。Aaveのガバナンスは、V3とV4の両方の展開でrsETH市場を無効化した。その他のAaveプールはすべて安全かつ稼働中であり、今回のインシデントはrsETHに限定されており、Aaveプロトコル自体の脆弱性を示すものではない。
より広範なDeFi感染拡大 被害の全体像
感染はKelpDAOをはるかに超えて拡大した。Aaveは6,200百万USDTの純流出を記録し、23%の減少。Morphoは716百万USDTを失い、9%減少。Sky protocolは272百万USDTを失い、4%減少。JupLendは76百万USDTを失い、8%減少。攻撃直後にDeFiの総TVLは約100億USDT減少し、JPMorganはエコシステム全体への影響を200億USDTと推定している。LidoはEarnETHを一時停止し、約9%のTVLがKelpDAOのrsETHに直接露出していたため、事前の資産評価で3百万USDTの流動性バッファを展開し、攻撃前の出金リクエストを処理した。DVV、GGV、EarnUSDはrsETHへの直接的な露出ゼロを確認し、通常通り運営を続けている。SparkLendとFluidはともにrsETHのエクスポージャーに対して緊急停止を実施。利用率に基づく金利は複数の貸出プラットフォームで急騰し、借り手のレバレッジ縮小とポートフォリオ調整を促した。
ユーザ資金 現在の状況(ポジションタイプ別)
ユーザ資金の安全性は、どの製品とチェーンを通じてエクスポージャーを持っていたかに完全に依存している。
EthereumメインネットのrsETHホルダーは、正当なEigenLayerステーキング預金に裏付けられており、その裏付けEigenLayer委任は完全に維持され、侵害されていないことが確認された。Aaveの非rsETHポジションを持つユーザは全て安全で影響を受けていない。Layer 2ネットワーク上でwrapped rsETHを保有するユーザは、ブリッジのリザーブが破損しているため、真の不確実性に直面している。資産の損失分配はまだ正式に決定されていない。流動性不足前にEarnETHの出金申請を行ったユーザは、事前評価での価格で償還される。後続の出金リクエストは流動性条件が正常化した後に処理される。関係するすべてのプロトコルの公式ガイダンスは変わらず、「正式な解決策が発表されるまで、いかなるチェーン上のrsETHとも相互作用しないこと」が推奨されている。
セキュリティパッチ 何が変わったか
この攻撃を可能にした1-of-1 DVN設定は、根本的な脆弱性として特定されており、今後のKelpDAOやLayerZeroの展開には登場しない。LayerZeroは、攻撃前にKelpDAOに対してマルチDVN設定を推奨していたが、そのプロトコルは依然として1-of-1展開を許可していたことを認めた。これに対し、オンチェーンのセキュリティ研究者bantegは、4月19日時点でArbitrum、Base、BSCを含む複数のプロジェクトが依然として1-of-1ブリッジ設定を運用していると公に指摘し、DeFiエコシステム全体で緊急のセキュリティレビューを促した。今後は、少なくとも2-of-3のマルチDVN検証基準を業界の標準として採用し、高価値のブリッジ展開においても自動的なサーキットブレーカーを導入することが求められる。
投資家の感情 恐怖か機会か
rsETHに関する市場のセンチメントは依然非常にネガティブであり、DeFi Unitedの回復ロードマップが正式に公開され、悪債分配が確定するまではその状態が続く。しかし、より広範なDeFiセクターは、資本が影響を受けたプロトコルから無傷の代替へと流れる「避難所取引」の初期兆候を示している。Santimentは、Kelpの崩壊から6日後にこのパターンが出現したことを確認した。DeFi United連合の迅速さと規模は、すでに13,500 ETH以上の資金が確定寄付として誓約されており、過去のDeFi脆弱性回復努力を上回るものであり、エコシステムの成熟を示している。1,800人のEtherFiトークンホルダーが圧倒的に回復資金の投入に投票した事実は、DeFiのガバナンスメカニズムが危機時に高速で動員できることを証明している。
DeFiセキュリティに関する教訓 これが永続的に変えるもの
この攻撃を受けて、DeFiには3つの構造的変化が進行中である。第一に、1-of-1 DVN設定はすべての主要なブリッジプロトコルから排除されつつある。KelpDAOの攻撃は、単一のバリデータの侵害が数億ドルを数分で流出させることを示した。第二に、すべてのチェーンで同時にロック・ミント比率を追跡するリアルタイムの不変性監視が、コアセキュリティ要件として義務付けられる。第三に、ブリッジのTVL集中制限がガバナンス議論に入っており、単一のブリッジがトークンの流通供給の一定割合の裏付けを持つことを自動的に制御するサーキットブレーカーの導入が求められている。
回復のタイムライン
DeFi Unitedのロードマップの実行、悪債の分配、rsETH市場の段階的再開は、基本的には30〜60日以内に完了する見込みである。最良のシナリオは、1週間以内に全資本コミットメントが確定し、Arbitrumセキュリティ評議会のガバナンスが7000万USDTの資金分配を承認し、攻撃者によるTHORChainの追加動きがなく、オンチェーンのフォレンジックがさらに複雑化しないことに依存している。既存のrsETHホルダーは、保有を維持しながら監視を続けるべきであり、流動性不足時に売却せず、正式な回復経路が確定するまで待つべきである。より広範なDeFiエコシステムにとって、DeFi Unitedの取り組みは、セクター史上最も強力な危機対応となる可能性があり、成功すればDeFiがブラックスワンイベントを扱う新たな標準を打ち立てることになる。失敗すれば、DeFi保険やブリッジのセキュリティ監査の義務化に向けた規制圧力が避けられなくなる。
攻撃は終了した。回復は始まった。結果は、DeFiの最大手たちが最大の約束を果たせるかどうかにかかっている。