Rippleの最高技術責任者であるデビッド・シュワルツ氏は、分散型金融(DeFi)業界に対し、広く利用されているクロスチェーンブリッジが、2026年に発生した最大規模の仮想通貨ハッキング事件の一つであるKelpDAOの攻撃を可能にしたのと同じ構造的脆弱性を抱えている可能性があると警告し、新たな警告を発した。シュワルツ氏はXについて、セキュリティとリスクのみに焦点を当て、複数の DeFi インフラストラクチャを検証したと述べた。.
彼の発言は、攻撃者がKelpDAOのrsETHブリッジから約2億9200万ドル相当の資産を盗み出した数日後に行われたもので、この侵害事件はクロスチェーンインフラストラクチャのセキュリティに対する懸念を再び高めている。.
彼の調査によると、ほとんどの DeFi システムには最高レベルのセキュリティツールが組み込まれているものの、KelpDAOのような攻撃を防ぐために設計された仕組みそのものがオプションとして扱われていることが判明した。これは主に、運用上の複雑さが増すことによるコスト増を避けたいからだと彼は述べている。.
彼はこう書いている。「彼らは概して、最も重要なセキュリティメカニズムは利便性や運用上の複雑さといったコストがかかるため、使用しない方が良いと事実上推奨していた。」
RippleテーブルコインRLUSDのブリッジシステムの評価中に懸念が生じたと述べた。多くのプロトコルは設計上は堅牢に見えるものの、実際の導入では、チームが厳格なセキュリティ対策よりも利便性と迅速な拡張を優先するため、しばしば不十分な結果に終わると彼は主張した。
シュワルツ氏によると、 DeFi プラットフォームはセキュリティよりもクロスチェーン拡張を優先しているという。
シュワルツ氏は投稿の中で、チェーン全体で規模を拡大しようとする動きが、成長優先、安全性二の文化を生み出し、最も重要な安全対策が軽視されていると指摘した。彼は、ほとんどのプラットフォームのセールスポイントは容易な統合性を強調しており、最も堅牢なセキュリティツールは実際には使用されないという暗黙の了解があると主張した。
さらに彼は、KelpDAOへの攻撃は、チームが既に利用可能な最高レベルのセキュリティよりも利便性を優先するという危険なパターンを反映していると述べた。これは、彼が DeFi 評価中に観察した状況と似ている。.
彼は、「問題の一部は、KelpDAOが利便性を理由にLayerZeroの主要なセキュリティ機能を使わないことにあるような気がする」と述べた。
さらに最近では、一部のアナリストが、 Solana 上の Wrapped XRP (wXRP) が次のドミノ倒しになる可能性があると警鐘を鳴らしました。これは、w XRP がサードパーティの発行者に依存しており、KelpDAO が 2億9200万ドルの損失を被ったのと同じカウンターパーティリスクを抱えているためです。XRP Ledger XRP バリデータである VET on X は、「wXRP は発行された資産であり、リスクの観点から、自己管理によるネイティブ XRP 保有には遠く及びません」と述べています。
しかし、一部のクロスチェーンプロトコルは既に防御策を講じ始めている。例えば、FlareはFXRP ブリッジング活動を一時的に停止し、トークンの償還を保留した。.
KelpDAOはどのようにして2億9200万ドルを失ったのか?
KelpDAOの脆弱性を悪用した攻撃では、約2億9200万ドルが失われ、初期の調査結果では、北朝鮮と関係のあるラザルス・グループ、特にTraderTraitorが共謀していたことが明らかになった。KelpのLayerZeroブリッジを標的とした単一の取引で、攻撃者は11万6500rsETH、つまりトークンの流通量の約18%を盗み出した。
この攻撃は、LayerZero LabsのDVNがトランザクションの検証に使用するRPCエンドポイントに十分なアクセス権を取得することで、RPCインフラストラクチャを汚染することを目的としていました。しかし、この侵害はKelpDAOのrsETH設定のみに影響を与え、他のクロスチェーン資産やアプリケーションには影響が及びませんでした。.
ブロックチェーン調査員のZachXBT氏が自身のTelegramチャンネルで最初に警鐘を鳴らし、その後、セキュリティ企業のCyversとPeckShieldが迅速に窃盗を確認した。Cyversはまた、ハッカーが攻撃のわずか10時間前にTornado Cash でウォレットに資金を補充していたことも明らかにした。これは、窃盗前に tracを消すための昔ながらの手口だ。.
攻撃後、トークンは Aave V3に預け入れられ、ETHとWETHを借り入れた。その後、ブロックチェーンデータから、Tornado Cashを通じた資金洗浄が行われたことが明らかになった。攻撃者は約74,000 ETHとWETHを借り入れ、3つの融資プラットフォームで合計2億3,600万ドル以上の負債を抱え、1つのウォレットには Aaveから約1億2,000万ドル相当のETHが保管されていた。.
シュワルツ氏もKelpDAOの脆弱性攻撃直後にコメントを発表した。同氏は、この攻撃は高度なものであり、KelpDAOの監視体制の不備を悪用したものであると指摘した。Rippleの元CTOであるジョエル・カッツ氏も、 非難し、同社とは異なり、RLUSDはブリッジングにおいてセキュリティを最優先するアプローチを取っていると主張した。
