Solana基盤の主要DeFiプロトコルDrift Protocolは4月1日未明、プロトコル上で異常な活動を検知したとして「active attack(進行中の攻撃)」を認め、預金と出金を停止しました。
オンチェーン上では同プロトコルのボールトから2億ドル超の資金移動が確認されており、Solanaエコシステムを揺るがす大規模なセキュリティ事故となっています。
Driftは永続先物取引を中心とする代表的なSolana上のDeFiサービスで、事件前のTVLは約5億ドルと推定されていました。今回の流出額はこの規模のかなりの割合に相当し、ユーザー資産の保全と原因究明が急務になっています。
We are observing unusual activity on the protocol. We are currently investigating. Please do not deposit funds into the protocol while we investigate. This is not an April Fools joke. Proceed with caution until further notice. We’ll provide additional updates from this account.
— Drift (@DriftProtocol) April 1, 2026
約50分後の3時10分、Driftは公式Xで「プロトコル上の異常活動を観測している」と発表し、調査が終わるまで資金を預け入れないよう注意を出しました。
その後、Driftは同スレッドで攻撃が進行中であることを認め、外部のセキュリティ企業やブリッジ、取引所と連携して封じ込めを図っていると説明しました。預金だけでなく出金も停止し、被害拡大の抑制を優先しています。被害額については、2億8500万ドル前後としています。
Earlier today, a malicious actor gained unauthorized access to Drift Protocol through a novel attack involving durable nonces, resulting in a rapid takeover of Drift’s Security Council administrative powers.
This was a highly sophisticated operation that appears to have involved…
— Drift (@DriftProtocol) April 2, 2026
Drift Protocolはその後の説明で、今回の資金流出がスマートコントラクトやプログラムのバグによるものではないとの見方を示しました。暫定調査によると、攻撃者は「durable nonce(耐久性ノンス)」を使った事前署名済みトランザクションを悪用し、Driftのセキュリティカウンシルに関する管理権限へ不正アクセスしたとしています。
Driftによれば、この攻撃は数週間にわたる準備のうえで段階的に実行された高度なもので、実行を遅らせられる耐久性ノンスの仕組みを用いて、事前に署名されたトランザクションを後から発動できる状態にしていたとみられます。さらに、攻撃には実行前に取得された不正または虚偽のトランザクション承認が関与しており、巧妙なソーシャルエンジニアリングによって複数の署名者の承認が引き出された可能性が高いと説明しています。シードフレーズの侵害を示す証拠は確認されていないとも述べています。
攻撃者は少なくとも2/5のマルチシグ承認を取得し、数分以内に悪意ある管理者権限の移転を実行しました。その後、プロトコルレベルの権限を使って悪意ある資産を導入し、あらかじめ設定されていた出金制限を解除したうえで資金を引き出したとされています。
その結果、Driftは約2億8000万ドルがプロトコルから引き出されたと説明しています。影響範囲については、borrow/lend、vaultへの入金、取引用資金の入金を含むすべての入金系機能が被害対象になったとしており、予防措置として残るプロトコル機能を凍結し、侵害されたウォレットを除外するためにマルチシグ構成も更新したとしています。
一方で、Driftに預け入れられていないDSOLや、保護のためにプロトコルから引き出された保険基金資産については、今回の影響を受けないと説明しました。
