2億9000万ドルのKelp DAOハッキング、Lazarus Groupと脆弱なブリッジセキュリティに関連

重要なポイント

• LayerZeroの認証システムに接続されたRPCノードへの巧妙な攻撃により、Kelp DAOから約2億9,000万～2億9,300万ドルが盗まれた
• Kelp DAOは、複数の検証者を実装するというLayerZeroのセキュリティ推奨事項を無視し、1つの検証者のみで運用していたとされる
• 予備的な証拠は、このセキュリティ侵害の背後にある実行犯として北朝鮮のLazarus Groupを指摘している
• 特にAaveを含む9つの分散型金融プラットフォームが連鎖的な被害を受け、Aaveの預かり資産（TVL）は60億ドル減少した
• 今後、LayerZeroは単一検証者構成で動作するアプリケーションのサポートを拒否すると宣言した

2026年の最も重大な分散型金融セキュリティ侵害の1つとして、Kelp DAOは週末の攻撃で約2億9,000万～2億9,300万ドルの損失を被った。この事件で使用されたクロスチェーンメッセージングプロトコルであるLayerZeroは、脆弱性をKelpのインフラストラクチャの決定に起因するものとしている。

侵害は、異なるブロックチェーンネットワーク間でのKelpのrsETHトークン転送メカニズムに焦点を当てていた。単一検証者アーキテクチャで運用していたため、クロスチェーン転送を検証するために必要な権限は1つだけだった。LayerZeroによると、同社はこの構成についてKelpに明示的に警告し、複数の独立した検証ソースの採用を促していた。

ハッカーは2つのリモートプロシージャコールノード（ソフトウェアがブロックチェーンデータとやり取りできるようにする専用サーバー）に侵入した。これらの正規ノードは、他のインフラストラクチャコンポーネントには正常に見える一方で、LayerZeroの認証システムに不正な情報を配信する侵害されたバージョンに置き換えられた。

LayerZeroの認証プロセスは正規の外部ノードも参照していたため、攻撃者はこれらのシステムを無効化するために分散型サービス拒否キャンペーンを開始した。この戦術により、土曜日の太平洋時間10時20分から11時40分までの80分間、ネットワークトラフィックが侵害されたインフラストラクチャを経由するようにリダイレクトされた。

フェイルオーバーメカニズムが作動すると、悪意のあるノードは正規のトランザクションの確認を検証者に送信した。その後、Kelpのクロスチェーンブリッジプロトコルは116,500 rsETHを攻撃者のウォレットに放出した。敵対的なソフトウェアはその後、自らを削除し、影響を受けたサーバーからすべての法医学的証拠を消去した。

分散型金融エコシステム全体への連鎖的影響

盗まれたrsETHトークンは、さまざまな貸付プラットフォーム全体で担保資産として展開され、攻撃者が本物の資産を引き出すことを可能にした。支配的な分散型貸付プラットフォームであるAaveは、最も大きな被害を受けた。

Aaveは、ETHなどの価値ある資産がすでに借入メカニズムを通じて抽出されている一方で、流動性のないrsETH担保を保持している状況に陥った。Aaveのネイティブトークンは24時間以内に約15%急落し、プロトコルは参加者が資金を引き出すために急いだため、約60億ドルの引き出しを経験した。

Fluid、Compound Finance、SparkLend、Eulerを含む9つ以上の分散型金融アプリケーションが被害を受けた。サイバーセキュリティ企業Cyversは、この事件を単一のプラットフォームの脆弱性をはるかに超えて広がる「クロスプロトコル伝染イベント」と特徴づけた。

予備的な確信を持って、LayerZeroはこの攻撃を北朝鮮のLazarus Group、特にそのTraderTraitor部門に結びつけている。この同じ組織は、4月1日の2億8,500万ドルのDrift Protocolの侵害に関与しており、Lazarusが18日間で2つの異なる攻撃手法を使用して分散型金融から5億7,500万ドル以上を抽出したことを示している。

セキュリティプロトコルの調整

LayerZeroは、複数検証者アーキテクチャで動作するアプリケーションに脆弱性が広がった証拠はないと報告している。同社は認証サービスを復元し、単一検証者構成を使用するアプリケーションのメッセージ処理を拒否する恒久的なポリシーを発表した。

Curve Financeの創設者であるMichael Egorovは、この侵害が単独のトランザクション検証ソースに依存することの固有のリスクを示していると強調した。彼はさらに、運用上不可欠でない限り、クロスチェーンインフラストラクチャの使用に対して警告した。

Kelpは、LayerZeroの出来事の見解について沈黙を保っており、明示的なセキュリティ警告を受けたにもかかわらず、なぜプロトコルが単一検証者アーキテクチャで動作し続けたのかについて言及していない。

The post $290M Kelp DAO Breach Tied to Lazarus Group and Weak Bridge Security appeared first on Blockonomi.