Solana基盤のDeFiパーペチュアル取引所Drift Protocolは、4月2日に発生した約2億8000万ドルのエクスプロイトについて、2025年秋から約6カ月かけて進められた北朝鮮関連とみられるソーシャルエンジニアリング作戦が原因だったと公表しました。スマートコントラクトの欠陥ではなく、運営関係者との信頼関係そのものが侵入口になった点が、DeFi業界に重い課題を突きつけています。
Driftは4月5日までに公表した調査内容で、今回の侵害を「約6カ月かけて準備された組織的なインテリジェンス作戦」と表現しています。攻撃者は2025年秋、暗号資産カンファレンスで接触を始め、定量取引ファームを装ってTelegramグループを作成。数カ月にわたり関係者との接点を増やし、2025年12月から2026年1月にかけてはEcosystem Vaultのオンボーディングにも入り込み、100万ドル超の自社資金を預けて信用を重ねていたとされます。複数の国で対面ミーティングも重ねていました。
攻撃の実行段階では、durable noncesを悪用した事前署名トランザクションを通じてSecurity Councilの管理権が奪われました。被害額は約2億8000万ドル。2026年のDeFi分野では最大級のハックにあたります。
調査で確認された侵害経路には、偽のコードリポジトリをクローンさせる手口や、TestFlight経由でアプリをインストールさせる手口が含まれます。VS CodeやCursorを巡って2025年12月から2026年2月にかけて警告が出ていた脆弱性が悪用された可能性が高いと整理されており、開発環境自体が標的にされた構図が浮かびます。コード監査やオンチェーン監視だけでは防ぎにくい攻撃手法でした。
Driftは被害発覚後、プロトコル機能を全面的に凍結し、侵害されたウォレットをmultisigから除外しました。調査にはGoogle傘下のサイバーセキュリティ企業Mandiantが参加し、SEAL 911も対応を支援しています。攻撃後にTelegramのチャットは即座に削除されており、事前準備から痕跡消去まで一貫した作戦だったことがうかがえます。
帰属調査では、攻撃者は北朝鮮系グループ「UNC4736」と結び付けられています。追跡記録では、このグループが北朝鮮の偵察総局に関連するとされ、2024年10月に発生したRadiant Capitalの約5000万ドル流出でも同グループが関与していました。Driftの事案では、資金フローや用いられたペルソナがRadiant事件と重なり、過去事案との連続性が強まっています。
参照:公式
