Kelp DAOのrsETHブリッジが18日未明に攻撃を受け、116,500 rsETH(約2億9200万ドル、流通量約63万rsETHの約18%)が流出しました。AaveやSparkLendなど複数のDeFiプロトコルは、被害拡大を防ぐため緊急凍結に動きました。2026年に入って最大規模の暗号資産エクスプロイトとなり、20超のチェーンに広がっていたリキッド・リステーキングトークンの連鎖リスクが一気に表面化しました。
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Kelp DAOによると、攻撃は19日2時35分JSTに発生し、同社は約46分後の3時21分ごろに主要コントラクトを停止しました。Xでは『Earlier today we identified suspicious cross-chain activity involving rsETH』と投稿し、LayerZero、Unichain、監査人、セキュリティ専門家と根本原因分析を進めていると説明しています。停止後に試みられた約40,000 rsETHずつの追加流出2件は失敗しました。
攻撃者はLayerZero EndpointV2のlzReceive(他チェーンからの受信処理)を偽装メッセージで呼び出し、ブリッジ側に正規の移転だと誤認させてrsETHを放出させました。攻撃用ウォレットはトルネード・キャッシュで資金供給を受けていたとされ、流出したrsETHはAaveなどで担保に差し入れられ、ETHやWETHの借り入れに使われました。
The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH.
The freeze follows an exploit of the Kelp DAO rsETH bridge. Freezing the rsETH markets prevents new deposits and borrowing against rsETH…
— Aave (@aave) April 18, 2026
Aaveは19日朝、『The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave’s contracts have not been exploited』と公表し、Aave V3とV4のrsETH市場を凍結しました。流出後に行われたrsETH担保の借り入れを精査しており、不良債権が生じた場合は穴埋め策を検討するとしています。対応はSparkLend、Fluid、Upshiftにも広がり、20チェーンにまたがるラップド・イーサが取り残される事態となりました。
rsETHは、イーサをEigenLayerに再ステークして発行するKelp DAOのリキッド・リステーキングトークンです。Kelp DAOはBase、Arbitrum、Linea、Blast、Mantle、Scrollなど20超のチェーンで同じ資産として流通させるため、LayerZeroのOFT(オムニチェーン・ファンジブル・トークン、複数チェーン間で同一トークンを移す仕組み)を使っていました。そのrsETHがAave、SparkLend、Fluid、Upshiftで担保や運用資産として使われていたため、ブリッジの異常が貸付市場まで波及しました。
LayerZeroは19日昼、『We’re fully aware of the rsETH exploit』『All other applications remain safe』と投稿し、SEAL Orgなどと原因の特定を進めていると説明しました。Kelp DAOとLayerZeroは共同のポストモーテムを公表する予定で、各プロトコルの凍結解除や不良債権の査定はその内容を踏まえて進みます。
参照:公式
