ドリフト・プロトコルは、 4月1日に2億8,500万ドル以上の損失をもたらしたエクスプロイトの 詳細な背景に関する最新情報を発表し、攻撃がどのように組織化されたのか、なぜその影響が単一のプロトコルをはるかに超えて拡大したのかについての新たな洞察を提供した。
このインシデントは現在、北朝鮮国家関連の脅威グループと「中程度の信頼性」でリンクしており、DeFi全体の運用セキュリティ慣行について深刻な疑問を投げかけただけでなく、ロックされたSolanaの総価値の急激な低下とも重なった。悪用された後の数日間で、SolanaのTVLは$6.34Bから$55.5Bに減少し、約12.5%の減少となった。
盗まれた資金を除くと、約8%の純減は、ユーザーの信頼に意味のある変化があったことを反映していますが、主要なエクスプロイトの後に見られる過去の平均を下回っています。
6ヶ月にわたる侵入キャンペーン
Driftの4月5日のアップデートによると、今回の悪用は単一の脆弱性の結果ではなく、数カ月にわたって展開された組織的な作戦であった。
攻撃は2025年秋に始まり、クオンツ取引会社を装った人物が暗号カンファレンスでDriftの貢献者に接触した。その後6ヶ月間、これらの人物は一貫して接触を続け、複数の世界的な業界イベントで貢献者に直接会った。
彼らは強力な技術的知識を示し、信頼できる専門家の経歴を示し、取引戦略や保管庫の統合について詳細な議論を交わした。このようなやりとりは、トレーディングファームの典型的なオンボーディングの行動を反映しており、すぐに疑惑を抱かせることなく関係を発展させることができました。
2025年12月から2026年1月にかけて、同グループはDrift上のエコシステム保管庫をオンボーディングし、ワーキングセッションに参加し、プロトコルに100万ドル以上の資本を入金することで関与を深めました。この活動により、運営上の正当性が確立され、信頼がさらに強化された。
この関係を通じて、グループは標準的な統合ワークフローの一環として、ツール、アプリケーション、リポジトリへのリンクを共有した。これらのやりとりは、後に調査の中心となった。
想定される攻撃ベクトル
Drift の予備調査では、主に 2 つの侵入経路が指摘されています。
一人は、攻撃者が共有したVaultフロントエンドにリンクされたコードリポジトリをクローンした後に侵入された可能性があります。もう一人の投稿者は、グループのウォレット製品として提示されたTestFlightアプリケーションをダウンロードしたと報告されている。
セキュリティ研究者はまた、2025年後半から2026年前半にかけてVSCodeやCursorなどの開発環境に影響を与えた既知の脆弱性との関連性を指摘している。この脆弱性は、ユーザーの操作を必要とせず、悪意のあるリポジトリを開くだけで任意のコードを実行できるものでした。
この脆弱性が悪用された後、フォレンジック分析により、攻撃者の通信チャネルと悪意のあるソフトウェアがすぐに消去されたことが明らかになりました。
脅威の評価と対応
SEAL911チームを含む調査員は、この作戦が2024年10月のRadiant Capitalのハッキングとオンチェーンおよびオペレーション上の類似点の両方を共有していることを中程度の高い信頼性で評価した。この事件は以前、AppleJeusまたはCitrine Sleetとしても知られる北朝鮮国家関連グループUNC4736によるものとされていました。
Driftは、Driftの投稿者に直接会った人物は、脅威グループの直接のメンバーではなく、仲介者であった可能性が高いことを明らかにした。これは、国家とつながりのある行為者が第三者を配置して関係を構築し、ソーシャル・エンジニアリング・キャンペーンを実行する既知の手口と一致している。
Mandiantは、フォレンジック調査を実施するために契約していますが、正式な原因究明は未定です。
この攻撃を受けて、Driftは残りのすべてのプロトコル機能を凍結し、侵害されたウォレットをマルチシグから削除しました。チームはまた、資金の流れを制限するために、取引所とブリッジ・オペレーター全体で攻撃者のアドレスにフラグを立てました。
同プロトコルは現在、法執行機関やセキュリティ・パートナーと協力して調査を継続し、復旧の選択肢を評価している。
業界の反応はセキュリティの懸念を浮き彫りに
この事件を受けて、業界のリーダーたちから広範なコメントが寄せられ、その多くがより強固な運用セキュリティ基準の必要性を強調した。
Jito Labsの共同設立者兼CEOであるルーカス・ブルーダー氏は、この事件は業界の行動を変えるだろうと述べ、業界の参加者はこれまで "十分な偏執狂 "ではなかったと付け加えた。
ソラナ財団のジェイコブ・クリーチ技術担当副社長は、厳格なセキュリティの実践を強調し、未知のアプリケーションのインストールを避け、専用の署名デバイスを使用し、現在のセットアップを見直すようチームに助言した。
Solanaの共同設立者であるAnatoly Yakovenko氏もこの意見に賛同し、今回の攻撃を「恐ろしい」と表現し、開発環境と署名環境を物理的に分離することを推奨した。
Tayとして知られるオンチェーン調査者は、北朝鮮のIT労働者がDeFi summerまでさかのぼる暗号プロトコルの構築に貢献してきたと指摘し、SushiSwap、THORChain、Harmony、Ankr、Shib、Yearnを挙げている。
彼らは、そのような俳優の履歴書にある「7年間のブロックチェーン開発経験」という主張は、虚偽として却下されるべきではないと付け加えた。
Squads ProtocolのCEOであるStepan Simkin氏は、正式な運用セキュリティ基準の必要性を指摘し、プロトコル管理のためのコード監査やSOC2認証に類似したフレームワークを提案した。
責任と過失をめぐる議論
同情的な反応ばかりではない。法律の専門家であるアリエル・ギブナー氏は、今回の事件は民事上の過失にあたるのではないかと主張した。彼女は、開発活動と重要システムへのアクセスが混在していたこと、また、エアギャップされた署名環境などの基本的なセーフガードが欠如していたことを批判した。
ギブナーのコメントは、説明責任や、予防可能な運用上の失敗に対してプロトコルが責任を負うべきかどうかについての、より広範なコミュニティの議論を反映している。
これとは対照的に、Moonrock Capitalの創設者兼マネージング・パートナーのサイモン・デディック氏は、Driftがターゲットになった時点で、攻撃者の洗練された手口によって予防が極めて困難になったと指摘した。
セキュリティに対する考え方の大きな変化
また、この事件をより広い業界的背景の中に位置づける声もあった。
ソラナ財団のリリー・リウ会長は、スマートコントラクトは期待通りに機能したが、攻撃者はコードではなく人間の脆弱性を狙うようになってきていると指摘した。
Enterprise Ethereum Allianceのエグゼクティブ・ディレクターであるRedwan Meslem氏は、厳格なアクセス制御とセキュリティ・プロトコルが標準となっている航空宇宙や銀行などの伝統的な業界と比較した。彼は、暗号は重大な財務リスクを管理しているにもかかわらず、まだ新興企業レベルのセキュリティ文化で運営されていると主張した。
調査が進むにつれ、より広範な教訓が明らかになった。DeFiにおけるセキュリティは、コードにとどまらず、厳格な運用基準、管理された環境、そして敵対的な状況が強まる中で信頼を確立する方法の再評価にまで拡大しなければならない。
SolanaFloorの続きを読む
Titan取引所、新しいDARTルーターを通じてBinanceの4倍のパフォーマンスを約束
米イラン停戦交渉が暗礁に乗り上げる中、BTCは69kドルを維持
Driftプロトコルが2億8500万ドルでハッキングされる
