KelpDAOがLayerZeroと決別、Chainlink採用へ｜2.9億ドルのハッキング被害

分散型ステーキングプロトコルKelpDAOが4月18日に発生した約2億9,200万ドル規模のエクスプロイト（不正流出）の責任をクロスチェーンインフラ提供企業LayerZeroに公的に帰責し、クロスチェーンインフラを競合のChainlink CCIPへ切り替える計画を発表しました。

After the recent LayerZero exploit, we are taking steps to ensure rsETH is fully secure, which is why we are migrating to @chainlink CCIP.

From the April 18 incident, it is clear that LayerZero’s own infrastructure was exploited, resulting in $300M in losses across DeFi.… https://t.co/beIrfZZLlh

— Kelp (@KelpDAO) May 5, 2026

KelpDAOは「4月18日のインシデントから明らかなのは、LayerZero自身のインフラがエクスプロイトされ、DeFi全体で3億ドル相当の損失をもたらしたことだ」と主張。SEAL 911、Chainalysisなど主要セキュリティ調査企業の独立した報告書も同じ起源を指摘していると訴えました。

「1-of-1検証者」設定をめぐる責任所在の対立

事件の技術的核心はLayerZeroが提供する「1-of-1 DVN（分散検証ネットワーク）」設定にあります。これは1つの主体だけがクロスチェーン取引を検証する構造で、KelpDAOによれば「LayerZeroの担当者が承認した設定で、セキュリティリスクの警告はなかった」とされます。

攻撃の連鎖は以下の通り進行しました：

• LayerZeroのインフラに侵入し、検証者ネットワークのRPCノードを侵害
• システムを「改ざんされたデータ」に依存させる
• 偽造取引が承認される構造を悪用
• 約116,500 rsETH（約2億9,200万ドル相当）がクロスチェーンブリッジから流出

事件直後、LayerZeroは「1-of-1 DVN設定を使用しているアプリに対する署名・証明を今後行わない」と方針を発表。KelpDAOはこれを「数億ドルがexploitされた後に変更された方針であり、これがLayerZeroの広く使われていた設定だったことを認めるもの」と解釈しています。

LayerZero側の反論「Kelpの単一検証者設定が原因」

LayerZero側はKelpDAOの主張に反論し、「エクスプロイトはKelpのrsETHアプリに限定的なもので、推奨しているマルチ検証者モデルに反する単一検証者設定の使用が原因だった」と述べています。

これに対しKelpDAOは「その表現は事実と一致しない。1-of-1設定がKelp固有のものではなかったことは公知の事実だ」と再反論。具体的には「LayerZeroのドキュメントとデフォルト設定に従って実装した」とし、「同様の設定は広範なアプリケーションで使用されていた」とのデータを挙げて主張しています。

責任の所在を巡る対立は、業界内の他プロトコルの今後のクロスチェーンインフラ選択にも影響を及ぼし得る重要な論争となっています。