KelpDAOで2億9200万ドル超流出、攻撃者がイーサリアムおよびアービトラム上の複数の分散型金融(DeFi)プロトコルからポジションを引き出したと報告されている。
オンチェーン調査員のZachXBT氏がこの事件を指摘し、攻撃者が管理する6つのウォレットが盗まれた資金の移動に関与していると特定した。
KelpDAO攻撃の経緯
ブロックチェーンデータによると、攻撃者のウォレットは、プライバシーミキサーであるTornado Cashを通じて、窃盗開始の数時間前に初回資金供給を受けていた。
その後、ウォレットはDeFiプロトコルと連携し、KyberSwapおよびKelpDAOを介してトークンの承認とスワップを実行し、全ポジションをイーサ(ETH)に転換した。
「KelpDAOで1時間前にイーサリアムとアービトラム上で2億8000万ドル超が盗まれた模様だ。攻撃アドレスはTornado Cash経由で資金が供給されている」とZachXBT氏がTelegramで投稿した。
およそ1時間の間に、攻撃者はおよそ7万5700ETH(本稿執筆時点で約1億7800万ドル相当)を単一のウォレットに集約した。
残りの盗難資産は、アービトラム上の追加トークンやポジションを含む。記事執筆時点では、集約ウォレットからの資金流出は確認されていない。
このパターンから、特定のプロトコルにおけるスマートコントラクトの脆弱性ではなく、秘密鍵の漏えいによる侵害である可能性が示唆される。
被害者は、両チェーンにわたり多額のDeFi資産にエクスポージャーを有していた模様であり、攻撃者はこれらのポジションを体系的に引き出し、ETHへと交換した。
「クジラ」標的型攻撃の増加傾向
今回の事件は、高額保有者を狙ったフィッシングおよびソーシャルエンジニアリング攻撃の急増に続くものである。
2026年1月単月では、1人のフィッシング被害者が2億8400万ドルを失い、この月の暗号資産盗難被害全体の7割超を占めた。
今回の流出額が2億9200万ドルで確定した場合、過去最大級の個人ウォレット侵害事例の1つとなる。
セキュリティ分析官らは、今後数時間以内により詳細なオンチェーン解析を公表する見通しだ。
KelpDAOは本件について公表しておらず、BeInCryptoのコメント要請にも即時回答していない。
一方、ソラナのミームコインローンチパッド「Pump.fun」のInstagramアカウントが侵害されたとの報告もある。
「公式Pump.fun Instagramアカウントから発信される投稿は一切信用しないでほしい。アカウントが安全に確保されるまで、全ポストに注意」とチームはXで投稿した。
ただし、Pump.funの各プラットフォームは通常通り稼働しており、ユーザー資金の安全は保たれている。
