TechFlow(深潮)の報道によると、5月2日、フォーブス(Forbes)は、DeFi業界が記録上最も大きな損失を被った月を経験したと報じました。わずか3週間足らずの間に、12のプロトコルが合計6億60万ドル以上を盗まれました。そのうち、Drift事件による損失は2億8,500万ドル、Kelp DAOにおける損失は2億9,200万ドルであり、この2件の攻撃だけで総損失の約95%を占めています。
Solana上で最大規模の分散型パーペチュアル・コントラクト取引所であるDriftが攻撃を受けました。事件の再構築レポートでは、この攻撃は「6か月にわたって計画された」とされており、中程度の信頼度で、北朝鮮政府支援のハッカー組織によるものと特定されています。攻撃者は、量的取引会社を装い、貢献者との信頼関係を築いた後、Solanaの「耐久性のあるノンス(durable nonces)」機能を悪用して、セキュリティ委員会メンバーに一見通常の取引のように見えるトランザクションの事前署名を誘導しました。Driftはタイムロックを撤廃し、2-of-5のマルチシグ方式に変更した後に、攻撃者は架空の資産「CarbonVote Token」を担保として導入し、最終的にプロトコルのセキュリティ機構を回避しました。当該プロトコルの直近の監査は今年2月に行われましたが、今回の脆弱性はスマートコントラクトのコード上の問題ではなく、端末の乗っ取りや署名者の操作など、人的要因に起因しています。
Kelp DAOに対する攻撃は、プロトコルの周辺インフラを標的にしたものでした。同プロトコルはLayerZeroを活用したクロスチェーンブリッジを採用しており、その検証子設定は1-of-1でした。攻撃者はRPCノードを乗っ取り、データを改ざんすることで、ブリッジからrsETH 116,500枚(当該トークンの流通供給量の約18%に相当)を不正に放出させました。盗まれたrsETHはその後、Aaveに預け入れられ、担保として借入が行われました。これにより、CompoundやEulerなどの主要な貸付市場にもリスクが拡散しました。2日間でDeFiの総ロックアップ価値(TVL)は130億ドル以上減少し、Aaveは約2億4,600万ドル分のrsETH不良債権を抱えることになりました。業界はその後、「DeFi United」調整イニシアチブを立ち上げ、影響を受けた市場の安定化に向けて3億ドル以上を調達しました。
Karapetian Private Capitalのマラト・カラペティアン氏は、2026年の状況に市場が衝撃を受けていると指摘し、投資家はすでにDeFi構造のシステム的な脆弱性を認識していると述べています。
