2026年4月18日、Kelp DAOのLayerZeroを基盤としたrsETHクロスチェーンブリッジが攻撃を受け、ハッカーは約11.65万枚、価値2.92億ドルのrsETHを偽造し、2026年以降最大のDeFiセキュリティ事件となった。攻撃の核心は、Kelp DAOが設定したシングルポイント検証の脆弱性（1-of-1 DVN）にあり、検証ノードを1つだけ依存していたため、ハッカーは突破後にクロスチェーンメッセージを偽造できた（攻撃は明確に北朝鮮のLazarus Groupを指している）。攻撃者は次に、担保なしのrsETHをAaveなどの貸付プラットフォームに預け入れ、約2.36億ドルの実資産を借り出した。これにより、Aaveは1.77億ドルから2.3億ドルの潜在的な不良債権を被り、九つの主要プロトコルは緊急でrsETH市場を凍結し、世界のDeFi総ロックアップ額は1日で200億ドル超が蒸発した。

緊急対応と業界協力——Aaveは迅速に「DeFi United」連合救済メカニズムを立ち上げ、Lido、Mantle、ether fiなどの主要プロトコルとAave創設者のStani Kulechov個人が合計1億ドル超の資金提供を約束し、資産プールの修復にあたった。さらに重要な措置は、Arbitrumセキュリティ委員会によるもので、9/12のマルチシグ緊急アップグレードを通じて、ハッカーのアカウントにあった約3万ETH（約7000万ドル相当）を追跡・凍結したものであり、これはStage 1 L2の歴史上、セキュリティ危機時に委員会権限が初めて発動された例となる。

影響と反省——今回の事件はDeFiに対して非常に深刻な衝撃を与えた。JPモルガンのアナリストは迅速に指摘し、DeFiはセキュリティ脆弱性とTVLの伸び悩みにより、機関投資家の関心を抑制し続けている。クロスチェーンブリッジは、「自由さと柔軟性」vs「絶対的な安全性」の構造的ジレンマを露呈し、同時にKelp DAOが採用した超低セキュリティ設定は、業界全体の安全基準に警鐘を鳴らすものとなった。#rsETH攻击事件后续进展