問題提起
2026年のクロスチェーンブリッジエクスプロイトは、一つの構造的パターンを共有しています。
トランザクションは暗号論理的に有効ですが、出所に関するクロスシステムの前提が、実行前に検証されていません。受信システムは、覆すことができる──そして実際に覆された──信頼の前提に基づいてコミットしてしまいます。
具体的には、3つの構造的失敗がブリッジ攻撃を成立させます:
- 検証の単一障害点:DVN(Decentralized Verifier Network)が1-of-1や少数の閾値で運用される場合、その鍵が侵害されればブリッジ全体が破られる
- 検証なしのRPC信頼:検証者は真実のソースとしてRPCノードを信頼する。攻撃者が複数のRPCを侵害してフェイルオーバーを強制すれば、検証者は偽メッセージを正規のものとして承認する
- 実行前の起点チェックの不在:受信側のOFTアダプターは、署名が揃ったメッセージを「設計通りに」実行する。「このメッセージは本当にソースチェーン上で発行されたのか」を独立に問う暗号的経路がない
Kelp DAO攻撃(2026年4月)は、このパターンを最も鮮明に示した実例です。1-of-1のDVNが偽メッセージを承認し、$292Mが流出。攻撃後、侵害されたRPCノード上のマルウェアが自身とログを削除し、フォレンジック証拠を消滅させました。
署名は有効。メッセージは偽造。このギャップを、暗号レイヤで埋める必要があります。
シナリオ
Kelp DAOはEigenLayer上に構築された流動性リステーキングプロトコルです。旗艦トークン rsETH は、預け入れ・ステーキング・リステーキングされたETHを表し、LayerZero OFTを介して20以上のチェーンに展開されています。攻撃時点でTVLは約$1.57B。
Lemma 導入前 — 攻撃の展開
2026年4月18日 17:35(UTC)
| 時刻 | イベント |
|---|---|
| T-10h | 攻撃者がTornado Cashで9つの運用ウォレットに資金供給 |
| 17:35 | 攻撃者がスプーフィングされたクロスチェーンメッセージで lzReceive を呼び出し |
| 17:35 | 1-of-1 DVNが偽メッセージを承認 |
| 17:35 | KelpのOFTアダプターが116,500 rsETH(約$292M)を攻撃者制御アドレスに放出 |
| 17:35–18:20 | 攻撃者が rsETH を Aave V3 に担保預け入れ、約 106,467 WETH を借り入れ |
| 18:21 | Kelp 緊急マルチシグが pauseAll を実行(最初の悪意あるトランザクションから46分後) |
| 攻撃後 | 侵害されたRPCノード上のマルウェアが自身とログを削除 |
連鎖的影響:
- 直接損失(rsETH 流出):約 $292M
- Aave V3 不良債権(清算不能 rsETH 担保):約 $177M
- エコシステムTVL流出(攻撃後2日間):$13B 超
- rsETH が20以上のチェーンでペグ喪失
- ZRO トークン -22%(24時間)
Lemma 導入後 — 同じ攻撃が境界で停止する
| 時刻 | Lemma導入時の挙動 |
|---|---|
| 17:35 | 攻撃者が lzReceive を呼び出し(同上) |
| 17:35 | DVN 承認は依然として偽メッセージを通す(DVN は置換していない) |
| 17:35 | Lemma 実行前認証が起動。起点証明の検証が失敗──メッセージが主張するソースチェーン上で検証可能な条件下に発行されていない |
| 17:35 | OFT アダプターはコミットしない。116,500 rsETH はエスクローに留まる |
| 17:35 以降 | Aave V3 への担保変換は不可能。下流の連鎖損失は発生しない |
| 構造的事実 | 境界で停止。手動緊急停止を待つ必要がない |
構造的に意味すること
| 質問 | Lemma なし | Lemma あり |
|---|---|---|
| 1-of-1 DVNは悪用可能か | はい(単一障害点) | DVN承認に関わらず、起点証明が検証できなければコミット拒否 |
| 侵害されたRPCノードは偽メッセージを注入可能か | はい | いいえ。起点証明はRPC信頼性と独立に検証される |
| ログ削除で痕跡を消せるか | はい | オンチェーン固定された認証は生き残る |
| 悪用の停止速度は | 46分(手動) | 瞬時(書き込み時の自動拒否) |
LemmaはDVNレイヤを置き換えません。第二の独立した検証レイヤを追加する多層防御です。DVNが侵害されても、起点証明も検証されない限り、コミットは成立しません。
アーキテクチャ
Lemmaの4つの暗号レイヤが、クロスチェーンブリッジのライフサイクルに対応します。
1. ENCRYPT ─ 発行時の機密保持
ソースチェーン上でクロスチェーンメッセージが生成される瞬間、発行に関わる機密状態(カストディ経路・支払能力ステータス・再担保深さ)はAES-GCMで暗号化されます。原本はプロトコルの管理下に残り、メッセージペイロードに乗るのは認証可能なハッシュのみ。
2. PROVE ─ 起点認証ゲートウェイ
ソースチェーン上の発行境界に Lemma 起点認証ゲートウェイ が配置されます。クロスチェーンメッセージ生成時に:
proof(issuer_id, source_chain_id, action_hash, conditions_hash, timestamp)を ZK 証明として生成します。証明は機密状態を明かさずにアクションをそのソースに紐づけます。ZKサーキット上でコミットメントと選択的開示を組み合わせ、機密状態を露出させずに発行者・ソース・条件の整合性のみを示します。
証明はメッセージのペイロードに認証として添付され、転送中は送信側の継続的な誠実さに依存しません。
3. DISCLOSE ─ 実行前検証器とドメインポリシー
デスティネーションチェーン上のOFTアダプターに Lemma 実行前検証器 が統合されます。アダプターがコミットする前に:
- 着信メッセージから起点証明を抽出
- ZK証明を発行者・ソースチェーン・条件に対して検証
- ドメインポリシーレイヤをチェック:再生防止ナンス、カストディ経路、再担保深さ制限、支払能力認証
ポリシーはプロトコルごとに構成可能です。保守的なプロトコルは4つすべてを要求でき、より寛容なプロトコルはサブセットだけを有効にできます。検証が失敗すれば、書き込み時にメッセージが拒否されます。
4. PROVENANCE ─ オンチェーン認証固定
すべての起点証明はコミットメントツリーに集約され、ルートが定期的にオンチェーンに固定されます。これにより、ログ削除を生き延びる事後フォレンジック証拠、規制コンプライアンスのための監査証跡、紛争解決のための独立検証が永続的に成立します。
証明される事実
LemmaがDeFiブリッジ検証で暗号的に保証する事実は以下です:
- メッセージの発行エンティティと発行時刻
- ソースチェーン上の発行条件(カストディ・支払能力・再担保深さ)
- 起点証明と受信メッセージの暗号的束縛
- DVN承認とは独立した第二の検証レイヤの存在
- 偽造・スプーフィング・RPC侵害下での自動拒否
- ログ削除攻撃を生き残るオンチェーン固定の認証
- 規制当局・第三者監査人による独立検証
証明する準備はできましたか?
ユースケースについてお聞かせください。1営業日以内にご返信いたします。