メインコンテンツまでスキップ

DeFi United:7 つの競合プロトコルがいかにして暗号資産初となる 3 億ドルの相互扶助救済策を構築したか

· 約 19 分
Dora Noda
Dora Noda
Software Engineer

2026年 4月 18日、北朝鮮の Lazarus Group が 2億 9,200万ドル相当の rsETH を持ち去ったとき、ほとんどの人がいつもの展開を予想していました。Kelp DAO が損失を吸収し、Aave の預金者が不良債権を被り、そして 2022年に Jump Crypto が Wormhole に対して行ったように、一人の億万長者の支援者が静かに小切手を切るという展開です。しかし、実際にはそうはなりませんでした。代わりに、通常は激しく競合している DeFi 最大手の 7つのプロトコルが、約 10万 ETH を「DeFi United」と呼ばれる単一の救済基金に集め、クリプトが自らの大惨事にどう対処するかというルールを静かに書き換えたのです。

金額も莫大ですが、その政治的意味合いはさらに大きく、この前例は業界がここ数年で生み出した最も重要なものになるかもしれません。

クロスチェーン・インバリアントを破壊したハッキング

4月 18日のエクスプロイトは、スマートコントラクトのバグではありませんでした。それはインフラへの攻撃でした。

Kelp DAO の rsETH ブリッジは、1-of-1 の分散型検証ネットワーク(DVN)構成で LayerZero に接続されていました。これは、ミントが完了する前に、単一の検証者がクロスチェーン・メッセージに署名する必要があることを意味します。Lazarus のオペレーター(LayerZero の事後分析によれば、具体的には TraderTraitor サブグループ)は、2つの RPC ノードを侵害し、残りのノードに DDoS 攻撃を仕掛けて、検証者を攻撃者が制御するエンドポイントにフェイルオーバーさせました。検証者が不正な確認を受け入れると、Ethereum 側のコントラクトは 116,500 rsETH(当時約 2億 9,200万ドル)を攻撃者のアドレスに放出しました。

この攻撃は単に Kelp の資金を枯渇させただけではありません。rsETH を支えるクロスチェーン担保の不変性(invariant)を破壊しました。ラップされた rsETH が 20以上のネットワークに散らばり、Ethereum 上の担保プールが空になったことで、rsETH を担保として受け入れていたすべてのプロトコルは、突然、そのペグが評判だけで維持されているトークンに直面することになりました。

48時間以内に、その影響が広がりました:

  • Aave の TVL は 264億ドルから約 175億ドルへと減少 — 89億ドルの減少であり、そのうち 66億ドルは初日に集中していました。
  • DeFi 全体の TVL から 132.1億ドルが流出 — Aave、SparkLend、Fluid、Morpho、そして rsETH 担保を密かに受け入れていた多くの中小規模プロトコルに及びました。
  • AAVE トークンは 16〜18% 下落し、プロトコルの最初の損失補填策である Aave のアンブレラ・セーフティ・リザーブには、rsETH/wETH ペアを中心とした推定 1億 9,600万ドルの不良債権に対し、わずか 8,000万〜1億ドルしか保有されていませんでした。

これこそが、ニュースの見出しでは十分に伝えられなかった部分です。エクスプロイトはブリッジで起きましたが、危機は貸し手(レンディング・プロトコル)で起きていたのです。

DeFi United の登場

4月 23日までに、Aave のサービスプロバイダーである TokenLogic、BGD Labs、Aave Chan Initiative は、この問題を単独で解決しようとするのをやめました。彼らは、DeFi のブルーチップ・レンディング・プロトコル全体での連鎖的な清算を防ぐのに十分な速さで rsETH の担保を回復させるという、一つの任務を掲げたマルチプロトコル連合「DeFi United」の創設憲章となる調整文書を配布しました。

誓約された拠出金は、この件に誰が利害関係を持っているかを物語っています:

拠出者誓約額種類
Consensys / Joe Lubin30,000 ETH直接投入
Mantle30,000 ETH融資枠ローン
Aave DAO(提案中)25,000 ETHトレジャリー割り当て
Stani Kulechov(個人)5,000 ETH創設者コミットメント
EtherFi5,000 ETH直接拠出
Compound DAO(提案中)最大 3,000 ETHトレジャリー割り当て
Lido DAO(提案中)2,500 ETHトレジャリー割り当て
Golem1,000 ETH直接拠出
Ethena, LayerZero, Ink Foundation未公開運営 + 資金

公開された誓約総額は 3億ドル を超え、運営連合自体は、DeFi 史上最大の共同資本対応として、約 69,534 ETH(約 1.61億ドル)を単一の共有救済基金に集めました

注目すべきは、その顔ぶれです。EtherFi はリキッド・リステーキング市場における Kelp の直接的な競合です。Compound と Aave はレンディングにおける宿敵です。Lido と Mantle はステーキング ETH の覇権を争っています。彼らの誰も、Kelp を救済することで個人的な利益を得るわけではありません。彼らは、ブリッジの構成リスクが今や競合他社の問題ではなく、「カテゴリー全体」の問題であるというシグナルを送っているのです。

2つのトラックによる回復計画

DeFi United の技術提案, 4月 27日に公開されたものは、回復を 2つの調整されたトラックに分割しています。

トラック 1 — rsETH ペグの回復。 段階的な ETH トランシェ預金メカニズムにより、Kelp DAO のブリッジ・ロックボックス・コントラクトに測定された増分で資金を供給し、1.07 ETH/rsETH の比率を回復させます。ブリッジの運用再開は、各トランシェが完了した後に行われます。この段階的なアプローチが重要な差別化要因です。ブリッジの構成がまだ部分的に侵害されている場合に備え、10万 ETH すべてを盗まれたばかりのコントラクトに一気に戻すのではなく、残存するセキュリティ・リスクを抑えることができます。

トラック 2 — 回収可能な資産の取り戻し。 盗まれた 116,500 rsETH のうち、約 107,000 rsETH は依然として 7つの攻撃者アドレスに保持されており、Aave V3(Ethereum、Arbitrum、Mantle)および Compound のアクティブなポジションに預けられています。DeFi United は、ガバナンス承認済みの清算を提案しており、これにより Aave だけで推定 7,100万ドル / 約 13,000 ETH、さらに Compound からも追加の回収が見込まれます。Arbitrum Security Council は法執行機関と協力し、すでに 30,000 ETH 以上の下流資金を凍結しています。

ここが巧妙な設計です。ほとんどの盗まれたクリプトは数時間以内にミキサー経由で流出します。しかし、Lazarus のオペレーターは、盗んだ rsETH をレンディング市場の担保として展開することを選択しました。おそらく、追加の借入流動性を引き出すためです。その決定により、盗まれたトークンの約 92% が、通常のガバナンス・チャネルを通じて攻撃者のポジションを清算することを決議できるプロトコル内に残ることになりました。連合がガバナンスの調整を十分に速く実行できれば、このエクスプロイトは部分的に自己回復可能です。

3 つの救済モデルの比較

DeFi United がなぜ真に新しいのかを理解するために、過去 10 年間に DeFi が生み出した 3 つの先行する救済モデルと比較してみましょう。

イーサリアムの DAO フォーク (2016 年)。 The DAO から約 6,000 万ドルが流出した際、イーサリアムのコア開発者たちはレジャー(台帳)を書き換えるハードフォークを調整し、預金者に資金を返還しました。これによりチェーンは分裂し(ETC が誕生)、一世代分の道徳的資本を使い果たしました。それ以降の救済に関する議論には、常にこの影がつきまとっています。ロールバックは単一チェーンのソリューションであり、クロスチェーンやマルチプロトコルの障害に対しては何の役にも立ちません。

Jump Crypto / Wormhole (2022 年)。 Solana–Ethereum ブリッジから 3 億 2,000 万ドルが盗まれた際、Jump Capital は預金者を救済するために 120,000 ETH を密かに預け入れました。これは機能しましたが、DL News は当時も今もこれを「非常に危険な前例」と呼んでいます。なぜなら、ガバナンスも透明性も再現性もなく、一人の裕福な後援者にコストを集中させたからです。

Mango Markets / Avraham Eisenberg (2022 年)。 攻撃者が Mango の DAO を通じて和解を交渉した、ガバナンスによるクローバック(回収)モデルです。これはエクスプロイトを準法的な紛争として扱う前例を作りましたが、攻撃者が特定可能で連絡が取れる場合にしか機能しませんでした。

DeFi United は第 4 のモデルであり、マルチプロトコル、クロス・トレジャリー(財務を横断する)、そして常設型であるという点で初めての試みです。競合する 7 つのプロトコルが共有ファンドに資本を出し合い、拠出する各 DAO で正式なガバナンス提案が行われます。誰もチェーンをロールバックせず、誰も一人の億万長者に頼りません。その構造は、フォークや個人的な小切手というよりも、シンジケート救済ファシリティ(協調融資枠)に近いものです。

誰も答えたがらなかった「仮想通貨版 FDIC」の問い

ここからが、哲学的にもどかしい部分です。

もし、ブリッジやインフラの障害に対する DeFi の標準的な対応として、バグバウンティやプロトコル固有の予備費ではなく、業界全体の連合による救済が取って代わるならば、エコシステムは事実上の「暗黙の保険プール」を構築したことになります。これは、次の失敗も同じように扱われるという仮定の下、最大のプロトコルによってアドホックに資金が提供されるものです。構造的には、これこそが伝統的な銀行業務における FDIC(米連邦預金保険公社)保険の本質です。つまり、テールリスクによる損失を社会化することで預金者の信頼を守る、相互バックストップです。

その妥当性は明白です。信頼できる救済メカニズムがなければ、あらゆるクロスチェーン・エクスプロイトが潜在的なシステム・イベント(連鎖破綻)になります。Kelp のハック後に続いた 48 時間で 132.1 億ドルの DeFi TVL が流出したことは、その概念実証です。規模が大きくなれば、預金者の再帰的な反応は、バグが誰の責任であったかなど気にしません。

一方で、反対意見は金融史上すべての救済策に向けられたものと同じです。それは モラルハザード です。壊滅的なインフラ障害が同業者の連合によって部分的にカバーされるとプロトコルが知れば、堅牢な DVN 設定、冗長化された検証者、パラメトリック保険のカバレッジ、そして厳格なブリッジ監査に投資するインセンティブが低下します。以前は個別のプロトコルが負担していたコストが、連合へと外部化されてしまうのです。Wormhole と Jump の前例は 2022 年にすでにこの懸念を提起していましたが、DeFi United はそれを 7 倍に増幅させています。

さらに悪いことに、Nexus Mutual や Risk Harbor といった標準的なパラメトリック・カバレッジ製品は、プロトコル固有のスマートコントラクトの失敗に対して価格設定されています。ブリッジの設定リスク、管理キーの侵害、AWS-KMS のブリーチなどは、すべてそれらのポリシーの 対象外 です。2026 年 4 月の合計 6 億 600 万ドルの DeFi 損失は、現在の市場構造では、ほぼ完全に無保険の状態です。DeFi United は、本来であれば適切に価格設定され、資本化された業界保険プールによって埋められるべき真空地帯を埋めているのです。

2026 年第 3 四半期の機関投資家アロケーションへの影響

これが最も重要となる相手は、クリプト・ネイティブな預金者ではありません。BlackRock の BUIDL(28 億ドル)、Apollo の ACRED、そして Franklin Templeton の BENJI といった、オンチェーンで大規模にトークン化された財務資産を保有する機関投資家のリスク委員会です。

彼らが関与するあらゆる DeFi の場に対する質問は、今や機械的なものとなっています。「あなたのブリッジ設定は、機関投資家のリスク枠組みで要求される頻度でどのように監査されていますか?」 Kelp 事件後の正直な答えは、「監査されていません。だからこそ、一時停止条項や許可型の会場が私たちのデフォルトのままなのです」というものです。ジェフリーズの 4 月 21 日のリサーチノートはこの動向を正確に指摘し、銀行が DeFi インフラにおける「アップグレードによって導入された脆弱性」を再評価するため、機関投資家の RWA(現実資産)スケジュールが 12 〜 18 ヶ月遅れる可能性があると警告しました。

DeFi United がそのスケジュールを加速させるか遅らせるかは、次に何が起こるかにかかっています。もしこの前例が、明示的な補償ルールを備えた、公認の業界資金によるパラメトリック・マルチプロトコル保険プールのような常設のものへと結晶化すれば、機関投資家のアロケーターは継続的なオンチェーン拡大を引き受けるために必要な、信頼できるバックストップを手にすることになります。もしこれが、組織化に 10 日を要し、個々の創設者のコミットメントを必要とした一回限りのアドホックな対応にとどまるのであれば、真剣な預金者が大規模な資金を割り当てる前に、すべてのプロトコルは依然として偶発的な救済コミットメントを開示しなければなりません。

Spark、Morpho、Euler、そして Fluid にとっての強制力は今や明白です。預金者は、彼ら自身 に連合によるバックストップがあるかどうかを尋ねるようになるでしょう。そして、「ノーコメント」は通用する回答にはならないのです。

お金の背後にある構造的な問い

2026年 4月は、2025年 2月の Bybit 流出事件以来、DeFi エクスプロイトにおいて最悪の月として記憶されるでしょう。累計損失額は 6億 600万ドルに達し、DeFi のインシデント件数は年初来で 47件と、2025年同期の 28件から 68% も急増しました。これらの損失のパターンこそ、業界が教訓として刻むべき部分です。4月の損失のうち、スマートコントラクトのロジックのバグによるものは 15% 未満であり、ブリッジの設定、管理者キーの漏洩、およびインフラへの攻撃が 85% 以上を占めています。

攻撃対象(エクスプロイト・サーフェス)は、Solidity からブリッジの DVN、AWS KMS、ハードウェアウォレットのサプライチェーン、そしてクロスチェーン・メッセージングへと、スタックの上位に移行しました。DeFi United は、この移行をプロトコルごとの監査の問題ではなく、調整の問題として捉えた最初の対応策です。この連合が恒久的なインフラとなるか、あるいは一回限りのものに終わるかは、業界が自らサーキットブレーカーを構築したのか、それとも次のより大きなパニックを単に先延ばしにしただけなのかを決定づけるでしょう。

4月 18日のエクスプロイトから DeFi United の結成までの 48時間の猶予は、歴史的基準から見れば迅速です。2008年のベアー・スターンズの破綻には 96時間かかりました。2016年の The DAO の議論は、Ethereum の帯域を 3週間も占有しました。7つのプロトコル、8つの DAO ガバナンスプロセス、および 10日間での調整された技術計画は、クリプト業界がこれまでに生み出した中で、機関投資家レベルのインシデント対応に最も近いものです。

そこに至るまでに 2億 9,200万ドルと、130億ドルの預金流出の脅威が必要だったに過ぎません。

BlockEden.xyz は、Ethereum、Solana、Sui、Aptos、および 30以上のネットワークにわたって、エンタープライズグレードの RPC およびインデックス・インフラストラクチャを提供しています。これは、ブリッジの設定や DeFi サービスが機関投資家規模で依存する、冗長化されたマルチリージョンの基盤です。当社の API マーケットプレイスを探索 して、クロスチェーン時代向けに設計されたインフラ上で開発を始めましょう。

Sources

Share on Twitter