ホーム / Critical Brief / No. 001

KelpDAO / rsETH 不正アンロック

DVN 観測層への RPC 改ざん攻撃

Pillar 01 · 来歴証明 ブリッジ信頼設定 認証・認可
事案日
2026-04-18
公開日
2026-05-29
発行
Lemma Critical Team
関連 Pack
Pack AIncident Response

TL;DR

KelpDAO / rsETH で、LayerZero Labs の内部 RPC が改ざんされ、DVN が改ざんデータに正規署名を下し、116,500 rsETH(約 460 億円相当)が不正アンロックされた。盗まれたのは署名鍵ではなく、承認が参照する観測層の入力である。署名も手続きも正規だったため、署名鍵の異常使用を見る事後の検出は発火しにくい。検出と事前証明は代替でなく補完である。

事案概要

  • 被害規模: 116,500 rsETH(約 $292M、当時レート約 ¥460 億)が不正アンロック
  • 対象プロトコル: KelpDAO(rsETH リキッドリステーキング)
  • 基盤: LayerZero v2 を介した cross-chain message
  • 被害認識: 2026-04-18
  • 攻撃の起点(LayerZero Labs 公表に基づく): LayerZero Labs オペレーション環境への侵入(2026-03 期、社会工学を経由した経路が指摘されている)
  • 改ざんされた資産: LayerZero Labs の内部 RPC クラウド環境(複数の内部 RPC ノード)
  • 侵害されなかった資産: LayerZero Labs DVN 署名鍵そのもの
  • 公式情報: LayerZero Labs incident statement および 5 月の続報 update。「observation layer」の独立カテゴリ化と、LayerZero Labs DVN の 1-of-1 構成署名拒否・3-of-3 default 化を含む
  • 核心: 本事案の構造的失敗は、DVN が「メッセージの出所」を判断する際に参照する観測層の入力が、独立検証されないまま正規署名の根拠として受理された点にある。

タイムライン

  • 2026-03 期(LayerZero Labs 公表に基づく推定): 社会工学を起点とする LayerZero Labs オペレーション環境への侵入が指摘されている期間
  • 2026-04-18: KelpDAO の rsETH 116,500 が不正アンロック
  • 2026-04-22 前後: 業界 incident response 開始
  • 2026-05 月: LayerZero Labs が incident statement と続報 update を公開。「observation layer」の独立カテゴリ化、LayerZero Labs DVN の 1-of-1 構成署名拒否ポリシー、3-of-3 default 化を発表

注: 固有名・日付・被害額は LayerZero Labs の公式 incident statement および各社の独立解析(Chainalysis・Halborn・Galaxy Research 等)の一次情報に基づき、各実装の対応状況は時点により異なるため最新情報を参照のこと。

攻撃ベクター

LayerZero Labs 公表に基づく chain:

  1. Initial compromise: LayerZero Labs オペレーション環境への侵入(社会工学を起点とする経路が指摘されている)
  2. Lateral movement: 侵入した攻撃者が LayerZero Labs の RPC クラウド環境内の内部 RPC ノードを改ざん
  3. Detection evasion(観測層の分裂): 改ざんされた内部 RPC ノードは、監視ツールに対しては正常応答を返し、LayerZero Labs DVN の署名サービスに対しては改ざんされた応答を返す二面構成
  4. DoS による quorum 強制: 外部 RPC プロバイダーへの DoS により、DVN 署名サービスが結果的に侵害された内部 RPC ノードのみを参照する状態に陥る(failover が poisoned RPC 側へ寄った)
  5. 正規署名 × 改ざんデータ: DVN は改ざんデータに対して正規の署名プロセスを実行。署名鍵そのものは攻撃を受けていないが、署名対象となる入力データが操作されているため、結果として偽メッセージへの「有効な」証明が生成される
  6. Impact realization: 1-of-1 単一 DVN 構成のもと、この単一証明が KelpDAO 側で承認資格を持ち、rsETH 116,500 が unauthorized unlock として実現

構造的論点

本事案における中心的な**失敗 primitive は「観測層入力の独立検証不在」**であり、cross-chain bridge において verifier が「メッセージの origin」を判断する際に参照する入力(観測層)に対する独立検証手段が欠落していた、という構造の代表事例である。Observation layer の入力(本事案では LayerZero Labs DVN が参照する RPC 応答)が、単一の主体(侵害されたオペレーション環境内の RPC ノード)で操作可能な状態に置かれていた。

同じ構造の隣接事案として、5 月の Stake DAO vsdCRV 不正ミント(Brief 002)がある。共通する構造は cross-chain bridge の信頼設定が単一主体の支配下にある点。差異は、本事案が DVN 観測層への RPC 改ざんを通じて trust を歪めたのに対し、Stake DAO 事案はデプロイヤー秘密鍵による LayerZero v2 trust source 直接書き換えを通じて trust を歪めた点にある。両事案は別ベクターから同一構造に到達している。

LayerZero Labs は incident statement で本構造を「observation layer」として独立した運用カテゴリと位置付ける方針を示した。観測層を硬化させる方針(quorum・多重化・人手 review)と、message 自体に独立検証可能な暗号証明を埋め込む方針は、対立軸ではなく補完関係にある。

検出と証明の落差

本事案では、DVN 署名鍵そのものは侵害されておらず、署名プロセスも正規であった。検出側の典型的観測点(署名鍵の異常使用、署名サービスの誤動作)は機能しにくい構造であった。攻撃が成立したのは観測層の入力データが操作されたためであり、署名プロセス自体は仕様通りに動作していた。

検出層強化のみでは構造的に届きにくい gap が本事案で露呈した。「99.7% で異常」型の信頼度スコアは、本事案のように「正規プロセスが操作された入力に対して正規署名を出した」事案では発火しにくい。これは検出ツール / 検出ベンダーの設計が劣っているのではなく、検出と立証(規制報告・行政手続き・訴訟での「許可されていない権限行使があった」立証)の間に独立した層が必要であることを示している。検出は依然として重要な層であり、本事案でも事象後の blast window を狭め、影響範囲の同定に貢献した。

事前証明(pre-execution attestation)は、検出に対する代替ではなく 補完 の関係にある。取引前に「メッセージの出所」を独立に検証可能な形で証跡化することで、検出 + 事前証明の二段構成で trust boundary を確立する設計が成立する。Observation layer に改ざんが入っていても、message に埋め込まれた origin proof は別系統で「この message は正規の origin から来た / 来ていない」を verifier に告げる。

事後の検知が証明にならない論点は 「AI 時代のサイバー防衛に残された、最後の層」(Lemma、2026-05)、行動前に独立検証する設計は 「Proof-as-Auth: 鍵を一度も送らずにサインインする」(Lemma、2026-05)を参照。

対応経緯と業界動向

LayerZero Labs(2026-05 月 incident statement 公開時):

  • LayerZero Labs DVN は今後、1-of-1 構成での署名を拒否
  • LayerZero v2 default は ≥3-of-3 DVN 構成
  • クラウド環境を全面再構築、短命 credentials、IAM 変更は複数人 review
  • 独立 RPC ソース quorum を必須化、RPC プロバイダー・ホスティング環境・地域の多重化
  • 業界パートナー数百社に対して 4 週間にわたり security posture 強化の支援を実施、継続予定

Lemma による分析

Lemma の設計は、observation layer 入力の独立検証不在という本事案の gap に対し、message 自体に来歴証明を埋め込んで accept 判定を観測層から切り離す点で対置される。

  • 発信元の来歴バインド: cross-chain message 自体に「正規の origin から来た」ことを独立検証可能な暗号証明として束ね、verifier が RPC 応答や config 表明に依存せず origin を検証できる。
  • 行動前の認可証明(proof-as-auth): 資産を動かす前に proof を検証する設計であり、事後の異常検知ではなく accept の前段で trust boundary を確立する。
  • 観測層からの独立: observation layer が改ざんされた状態でも、proof は別系統で「この message は正規の origin から来た / 来ていない」を verifier に告げる。
  • 検出との補完: 検出が狭めた blast window と、proof が与える事前の origin 保証は、対立軸ではなく二段構成として機能する。

これは「暗号論理的に有効 ≠ 来歴が正しい」という来歴証明カテゴリの設計思想であり、検出層を置き換えるものではなく補完する。

設計と適用範囲は、Pillar 01 — 来歴証明 および Trust402 を参照のこと。

Sources

Brief 配布について

本資料は公開情報の構造化分析であり、特定組織への監査・診断・推奨ではありません。

(c) 2026 FRAME00, INC. — Built for decisions that matter.

関連 Brief
ブリッジ信頼設定の全 7 件を見る
No. 074 · 2026-06-23

Taiko ブリッジ:proof は正しく検証されたのに、署名鍵の漏洩で偽の出金が「有効」と通った

prover の署名鍵が公開リポジトリに漏れ、proof の形式的有効性と prover identity の独立検証が分離した構造(BlockSec / Blockaid)

ブリッジ信頼設定 コード来歴認証・認可
Brief →
No. 067 · 2026-06-19

Syscoin ブリッジ:偽の proof が「有効」と解釈され、burn のないまま 50 億 SYS が発行された

パースの欠陥で偽の proof が「有効な burn の証明」として受理された構造(Halborn)

ブリッジ信頼設定 認証・認可
Brief →
No. 045 · 2026-06-11

1 台のラップトップにあった鍵だけでマルチシグ閾値を超え、資金が流出した

分散していたはずのマルチシグ承認が、単一の保管点の侵害で崩れた構造

ブリッジ信頼設定 認証・認可
Brief →
Cite this Brief

この Brief を引用する

Lemma Critical Team. (2026).
"KelpDAO / rsETH 不正アンロック — DVN 観測層への RPC 改ざん攻撃".
Lemma Critical Brief No.001. Lemma / FRAME00, Inc.
https://lemma.frame00.com/ja/critical/briefs/001-kelpdao-rseth/