KelpDAOで分散型ウォレットから2億9200万ドル流出

KelpDAOで2億9200万ドル超流出、攻撃者がイーサリアムおよびアービトラム上の複数の分散型金融（DeFi）プロトコルからポジションを引き出したと報告されている。

オンチェーン調査員のZachXBT氏がこの事件を指摘し、攻撃者が管理する6つのウォレットが盗まれた資金の移動に関与していると特定した。

KelpDAO攻撃の経緯

ブロックチェーンデータによると、攻撃者のウォレットは、プライバシーミキサーであるTornado Cashを通じて、窃盗開始の数時間前に初回資金供給を受けていた。

その後、ウォレットはDeFiプロトコルと連携し、KyberSwapおよびKelpDAOを介してトークンの承認とスワップを実行し、全ポジションをイーサ（ETH）に転換した。

およそ1時間の間に、攻撃者はおよそ7万5700ETH（本稿執筆時点で約1億7800万ドル相当）を単一のウォレットに集約した。

残りの盗難資産は、アービトラム上の追加トークンやポジションを含む。記事執筆時点では、集約ウォレットからの資金流出は確認されていない。

このパターンから、特定のプロトコルにおけるスマートコントラクトの脆弱性ではなく、秘密鍵の漏えいによる侵害である可能性が示唆される。

被害者は、両チェーンにわたり多額のDeFi資産にエクスポージャーを有していた模様であり、攻撃者はこれらのポジションを体系的に引き出し、ETHへと交換した。

「クジラ」標的型攻撃の増加傾向

今回の事件は、高額保有者を狙ったフィッシングおよびソーシャルエンジニアリング攻撃の急増に続くものである。

2026年1月単月では、1人のフィッシング被害者が2億8400万ドルを失い、この月の暗号資産盗難被害全体の7割超を占めた。

今回の流出額が2億9200万ドルで確定した場合、過去最大級の個人ウォレット侵害事例の1つとなる。

セキュリティ分析官らは、今後数時間以内により詳細なオンチェーン解析を公表する見通しだ。

KelpDAOは本件について公表しておらず、BeInCryptoのコメント要請にも即時回答していない。

一方、ソラナのミームコインローンチパッド「Pump.fun」のInstagramアカウントが侵害されたとの報告もある。

ただし、Pump.funの各プラットフォームは通常通り稼働しており、ユーザー資金の安全は保たれている。