主なポイント:
- LayerZeroは、最近のKelp DAOの不正流出を可能にしたDVN構成の致命的な欠陥について、全責任を認めました。
- 同プロトコルはすべての1-of-1バリデーター設定を終了し、今後はすべてのアプリケーションに対して最低3〜5のバリデーターを要求します。
- Lazarus Group(ラザルス・グループ)に関連するとされる4月の攻撃により、Kelp DAOは2億9,200万ドルの損失を被り、Aave上で約1億9,000万ドルの不良債権が発生しました。
戻る
LayerZero、2億9,200万ドルの不正流出を受け1-of-1 DVN構成の不備を認める
クロスチェーン・メッセージング・プロトコルのLayerZeroは、4月に発生したKelp DAOにおける2億9,200万ドルの不正流出を招いた重大なセキュリティ上の過失について公に非を認め、ネットワーク全体でのセキュリティ見直しを約束しました。
詳細なポストモーテム(事後分析)において、LayerZeroの経営陣は、単一障害点(single point of failure)となるシングルバリデーター構成で高価値なアプリケーションの運用を許したことについて全責任を認めました。同社は、「自社のDVNが何を保護しているのかを監視しておらず、単に見過ごしていたリスクを生み出してしまった」と述べ、当初の説明から大きく一転しました。
北朝鮮のLazarus Group(ラザルス・グループ)によるものと広く見なされている4月18日の攻撃は、2026年最大のDeFiセキュリティ侵害となっています。LayerZeroのコア・プロトコル自体は侵害されませんでしたが、攻撃者はLayerZero Labs自体の分散型バリデーターネットワーク(DVN)が使用するデータソースを汚染しました。これにより、Kelp DAOから117,132 rsETHが盗まれ、その一部は後にAaveレンディングプロトコルで担保として使用され、約1億9,000万ドルの不良債権が発生しました。
この事件の影響により、クロスチェーンブリッジのセキュリティや、開発者の自律性とプロトコルレベルの保護策とのトレードオフについて、業界全体で広範な再評価を余儀なくされています。直接的な結果として、Kelp DAOはLayerZeroからChainlinkのクロスチェーン相互運用性プロトコル(CCIP)への移行を発表し、Aaveと連携した初期の復旧ステップを経て、rsETHの出金を再開し始めました。
新たなセキュリティ基準
LayerZeroはエコシステム全体の脆弱性を排除するために直ちに行動を開始しました。同社は、自社のDVNがいかなるプロジェクトに対しても1-of-1(1人中1人の承認)設定をサポートしないことを発表しました。デフォルト設定は複数のバリデーターを要求するようにアップグレードされており、理想的には5つ、選択肢が限られている場合でも最低3つが必要となります。
Kelp DAOは、残りのLayerZeroブリッジ設定を更新し、4つの独立したアテスター(証明者)を要求するようにし、ブロック確認数を42から64に増やしたことを確認しました。
この攻撃は、より広範な救済活動も促しました。Aaveは「DeFi United」と呼ばれるイニシアチブを主導し、影響を受けたプロトコルを支援するために3億ドル以上のETHを調達しました。しかし、米国の裁判所が攻撃者に関連するArbitrumネットワーク上の凍結された7,200万ドル相当のETHに使用制限を課したため、回収された資金の一部の活用は法的な課題により複雑化しています。
LayerZeroは、今回の事件にもかかわらず、4月中旬以来、問題なく90億ドルを超える価値がプロトコルを通じて転送されていると述べています。同社は現在、RustベースのDVNクライアントや強化されたConsoleプラットフォームを含む新しいツールを導入しており、デフォルトでより厳格かつ安全な基準を適用することで、信頼の再構築を目指しています。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。
