仮想通貨業界のエグゼクティブやブロックチェーンセキュリティ企業によれば、リキッド・リステーキング・プロトコル「Kelp(ケルプ)」の脆弱性悪用事件は、分散型金融(DeFi)における非隔離型レンディングと統合が、いかに広範なエコシステムへの連鎖的な被害を引き起こし得るかを示している。
Curve Financeの創設者ミハイル・エゴロフ氏によると、Aaveレンディングプロトコルの旧バージョンを含むDeFiプラットフォーム上の非隔離型レンディングは、担保として使用される多種多様なトークンすべてに起因するリスクにユーザーをさらすことになる。
Kelpは土曜日にサイバー攻撃の標的となり、約2億9,300万ドルの流出を招いた。同プラットフォームは、攻撃の調査を進める間、再ステーキングトークン(rsETH)のスマートコントラクトを一時停止した。
エゴロフ氏は、DeFiチームは特定のデジタル資産をレンディングの担保として承認する前に、単一障害点や攻撃対象領域が含まれていないかを確認するため、候補となる資産を精査すべきであると述べている。
また、同氏はブロックチェーンプロトコル間で資産を転送するクロスチェーン・ブリッジ・アーキテクチャの使用に対しても警告した。これが今回のKelpにおける脆弱性悪用の根本的な原因であった。
「クロスチェーンは困難であり、潜在的なリスクを伴う。クロスチェーン・インフラの使用は絶対に必要な場合にのみ限定し、細心の注意を払って行うべきだ」とエゴロフ氏は述べている。
同氏によれば、今回の事件はDeFiにとっての学習体験であり、2026年第1四半期の仮想通貨ハッキングやコードの脆弱性悪用、詐欺による損失が4億8,200万ドルに達する中、この分野が成長し、より優れたサイバーセキュリティ保護を実装するために活用できるとしている。
Kelpの脆弱性悪用がDeFiエコシステム全体に「連鎖反応」を引き起こす
ブロックチェーンセキュリティ企業のCyversはコインテレグラフに対し、「これは単なるプロトコルの脆弱性悪用ではなかった。直ちにプロトコルを跨いだ連鎖的な被害へと発展した」と語った。
Cyversによると、Aave、Fluid、Compound Finance、SparkLend、Eulerを含む少なくとも9つのDeFiプロトコルとプラットフォームがこの事件の影響を受け、rsETH市場の凍結や影響の軽減措置を講じた。
CyversのCEOであるデディ・ラビド氏は、「課題はもはやコントラクトレベルでの脆弱性悪用を防ぐことだけでなく、それがいかに速く統合されたプロトコル全体に波及するかを理解することにある」と述べている。
Kelpでの脆弱性悪用は、先週発生した分散型取引所Drift Protocolでの2億8,000万ドルのハッキング、および今月上旬に発生した少なくとも12件の仮想通貨プラットフォームとDeFiのハッキングに続くものである。
