仮想通貨強奪事件「Kelp DAOエクスプロイト」の全貌：コード監査では防げなかった430億円の教訓

Kelpの緊急マルチシグ（複数署名による緊急停止機能）は、最初の流出から46分後に稼働し、約2億ドルの追加被害を防止した 。

マネーロンダリングの手口：約220億円が6週間で霧散

ハッカーは盗んだ瞬間から、資金洗浄（マネーロンダリング）を開始していた。

最初の一手は、盗んだ偽のrsETH 89,567枚を主要貸出プロトコル「Aave V3」に担保として差し入れ、そこから**本物のWETH（ラップドイーサ）**約82,650枚とwstETH 821枚を借り出すというものだった。この時点で、担保が無価値だと判明する前に「キレイな」流動性を引き抜くことに成功している 。

過去6週間で行われた資金洗浄の総額は約2.2億ドル（約330億円）に上り、追跡可能な残高は約170万ドルまで減少した 。

洗浄は2段階に分けて行われた。

• 第1段階: 「Tornado Cash」を使い、トランザクションのリンクを切断。
• 第2段階: 「Wasabi Wallet」を使いビットコインへ交換（CoinJoin方式でミキシング）。その後、クロスチェーンプロトコル「THORChain」を使い、資金を再びイーサリアムへブリッジした。THORChainは、ある24時間だけで約800億円（80M ETH-BTCスワップ）を処理し、1日のスワップ量が通常の約11倍に急増した 。

TRM Labsのレポートによれば、THORChainは2025年のBybitハッキング事件を含む北朝鮮関連の主要な窃盗事件で一貫して利用されており、どのオペレーターも送金を拒否・凍結しない「資金洗浄の大動脈」となっている 。

奇跡の逆転劇：Arbitrumが約100億円を緊急凍結

盗まれた全資金が闇に消えたわけではない。

2026年4月20日（日本時間21日）、イーサリアムのレイヤー2ネットワーク「Arbitrum」のセキュリティ評議会が緊急権限を発動。Arbitrum One上にあった攻撃者の30,766 ETH（約1億ドル、約150億円相当、被害総額の約4分の1）を緊急凍結し、ガバナンス管理下のウォレットへ移動させた 。

12名の評議会メンバーのうち9名が凍結に賛成。これは法執行機関の情報提供を受けた異例の対応だった 。この凍結資金の解除にはArbitrumの正式なガバナンス投票が必要であり 、2026年5月8日には、rsETHの担保回収と流動性回復を目的とした凍結解除の共同提案が承認されている 。

Aaveの3.2億ドル（約480億円）の焦げ付きと、リスク管理の根本改革

今回の事件で最も深刻な二次被害を受けたのが、巨大貸出プラットフォーム「Aave」だ。

偽のrsETHを担保に借り出された本物のWETHは約2.3億ドル（約345億円）。担保が無価値と判明した後は、回収不能な不良債権となった 。

Aaveは直ちに、関連する全チェーンでrsETHの担保掛目（LTV）をゼロに設定し、新規借入を凍結した 。2026年5月中旬までに無価値トークンの95%以上は回収され、最終的な穴埋めはDeFi業界団体「DeFi United」の協力とAave自身のトレジャリーで行われる見込みだ 。

しかし、より重要な遺産は「ガバナンスの改革」である。

2026年5月、Aave LabsのChief Legal and Policy Officerであるリンダ・ジェン氏は、Consensus Miami 2026にて新たな資産審査基準の導入を発表した 。新基準では、以下のような非財務リスクが評価対象に追加される。

• サイバーセキュリティ上の脆弱性と運用セキュリティの実態
• ブリッジインフラへの依存度と単一検証ノード（シングルバリデータ）リスク
• オラクル（価格情報提供者）や外部コントラクトのリスク露出
• 複数のプロトコルが絡む相互運用のカスケードリスク

Aaveは既に約295のリスクパラメータを調整し、危険シグナルが検出された場合にLTVを自動でゼロに引き下げる自動防御機能を追加した 。

教訓：「ブリッジ」こそが最大の死角

この事件の本質は、「スマートコントラクト監査済み＝安全」というDeFi業界の思考停止に警鐘を鳴らした点にある。

ハッキング発生から48時間以内に、DeFi全体のロックされた総価値は1,321億ドル（約2兆円）も蒸発し、Aave単体でもTVLが43%暴落するという未曾有の連鎖恐慌が起きた 。

Lazarus Groupは、監査と実際の信頼基盤の「狭間」を正確に射抜いたのだ。この苦い教訓を経て、業界はようやく、コードの中だけでなく、コードを繋ぐブリッジやノードといった外の世界にも目を向け始めている。