Drift Protocolの2億8500万ドルのハッキングは6ヶ月かけて行われた、北朝鮮のグループが関与したと非難される
Drift Protocolが2026年4月に受けた2億8500万ドルのハッキングは、北朝鮮による6ヶ月に及ぶソーシャルエンジニアリング作戦だった。その経緯と、DeFiセキュリティにとっての意味について解説する。
Soumen Datta
2026 年 4 月 6 日
(広告)
目次
2026年4月1日 エクスプロイト of サンルームプラットフォームから約2億8500万ドルを流出させたDrift Protocolは、偶発的な攻撃ではなかった。Driftの予備調査によると 調査これは、少なくとも6ヶ月前に始まった組織的な情報活動の結果であり、中程度から高い確度で、北朝鮮政府系の脅威グループであるUNC4736(AppleJeusまたはCitrine Sleetとしても追跡されている)によるものとされている。
ドリフトプロトコルのハッキングは実際にはどのように始まったのか?
Drift Protocolチームによると、この作戦は2025年秋に開催された主要な仮想通貨カンファレンスで始まり、そこで定量取引会社を装った人物がDriftの貢献者に接触したという。その後に続いたのは、単なるフィッシング詐欺ではなく、複数の国で開催された複数の業界カンファレンスでの対面ミーティングを通じて、数ヶ月にわたる計画的な関係構築キャンペーンだった。
このグループは技術に精通しており、確かな職務経歴を持ち、Driftの運用方法についても詳細な知識を示していた。最初の会合後、Telegramグループが設立され、取引戦略や保管庫の統合に関する実質的な議論が数ヶ月にわたって続いた。Driftのチームは、これらのやり取りは、正当な取引会社が通常プロトコルと関わる方法と完全に一致していると指摘した。
2025年12月から2026年1月にかけて、グループはDrift上にエコシステム・ボールトを構築しました。このプロセスには、正式な申請フォームを通じて戦略の詳細を提出すること、Driftの貢献者との複数のワーキングセッションに参加すること、そして100万ドル以上の自己資金を預け入れることが含まれていました。彼らは、計画的かつ忍耐強く、プロトコル内で機能的な運用体制を構築しました。
作戦実行前の最後の数ヶ月
統合に関する話し合いは2026年2月と3月も続いた。Driftの貢献者たちは、主要な業界イベントでグループのメンバーと直接顔を合わせた。4月になる頃には、関係はほぼ6ヶ月に及んでいた。彼らは全くの他人ではなく、Driftのチームがこれまで一緒に仕事をし、何度も顔を合わせてきた人々だった。
この期間を通して、グループは開発中だと主張するプロジェクト、ツール、アプリケーションへのリンクを共有した。こうしたリソースの共有は、トレーディング会社間の関係においては標準的な慣行であり、まさにそれが効果的な情報伝達メカニズムとなった理由である。
技術的な攻撃経路は何だったのか?
4月1日の攻撃後、Driftは影響を受けたデバイス、アカウント、通信履歴のフォレンジック調査を実施した。攻撃発生直後、グループが使用していたTelegramのチャット履歴と悪意のあるソフトウェアは完全に削除されていた。Driftの調査により、侵入経路として考えられる3つの経路が特定された。
- ある貢献者が、グループが共有していたコードリポジトリをクローンした後に、セキュリティ侵害を受けた可能性がある。このリポジトリは、グループの保管庫のフロントエンド展開ツールとして提示されていた。
- 2人目の投稿者は、グループがウォレット製品と称するTestFlightアプリケーションをダウンロードするよう促された。TestFlightは、iOSアプリのベータ版を一般公開前に配布するためのAppleのプラットフォームである。
- リポジトリベースの攻撃経路については、セキュリティ研究者が2025年12月から2026年2月にかけて積極的に報告していた、VSCodeおよびCursorコードエディタの既知の脆弱性が原因と考えられます。影響を受けるエディタでファイル、フォルダ、またはリポジトリを開くだけで、プロンプト、警告、権限ダイアログ、またはユーザーへの目に見える表示なしに、任意のコードを密かに実行できてしまいます。
影響を受けたハードウェアの完全なフォレンジック分析は、本稿執筆時点ではまだ進行中であった。
攻撃はどれくらいの速さで実行されたのか?
準備には6ヶ月かかったかもしれないが、実行は迅速だった。プロトコルの管理者権限が奪われると、実際のユーザー資金は12分足らずで流出した。Driftの総ロック額(TVL)は約5億5000万ドルから1時間足らずで3億ドル未満にまで減少した。この事件でDRIFTトークンは40%以上下落した。セキュリティ企業のPeckShieldは、総損失額が2億8500万ドルを超え、当時のプロトコルのTVLの50%以上を占めたことを確認した。
Driftのチームは混乱の最中、Xに投稿して状況が本物であることを明確にし、「これはエイプリルフールの冗談ではありません。追って通知があるまで、ご注意ください」と書き込んだ。調査開始に伴い、入出金はすべて停止された。
有望なプロジェクトを発見...
有望なプロジェクト...
(広告)
2億8500万ドルはどこへ消えたのか?
攻撃者は、不正行為後、資金の流れを隠蔽するために迅速に行動した。盗まれた資産はUSDCとSOLに変換され、Circleのクロスチェーン転送プロトコル(CCTP)を使用してSolanaからEthereumにブリッジされた。CCTPはCircle独自のブリッジングインフラストラクチャであり、USDCをラップすることなく異なるブロックチェーン間で移動できる。Ethereum上では、資金はETHに変換された。オンチェーン追跡により、攻撃者が最終的に129,066 ETH(当時の価値で約2億7300万ドル)を蓄積したことが確認された。
攻撃者はHyperLiquidとBinanceの両方にSOLを入金し、複数のプラットフォームに活動を分散させることで追跡を困難にした。
Circle社の対応は十分迅速だったか?
オンチェーン調査員のZachXBTは、今回の攻撃後、Circleを公然と批判し、盗まれた大量のUSDCが凍結されることなく、米国の営業時間中にSolanaからEthereumにブリッジされていたことを指摘した。ZachXBTは、Circleが最近、米国の非公開民事訴訟において、無関係の企業ホットウォレット16件を凍結した決定と対比させ、Circleには介入する技術的能力と明確な前例があったにもかかわらず、被害を最小限に抑えるのに十分な速さで行動しなかったと主張した。
攻撃の背後にいるのは誰か?
SEALS 911チームが行った調査に基づき、ドリフトの調査では、この作戦は2024年10月のラディアント・キャピタルへのハッキングに関与したのと同じ脅威アクターによるものだと、中程度から高い確信度で結論付けている。この攻撃は、マンディアント社によって北朝鮮政府系グループであるUNC4736によるものと正式に発表されている。
このつながりの根拠は、オンチェーンと運用面の両方にある。Drift作戦の準備とテストに使用された資金の流れは、Radiant攻撃者に関連するウォレットに遡ることができる。さらに、Driftキャンペーン全体で展開されたペルソナは、北朝鮮に関連する既知の活動パターンと明確に重複している。
Driftのチームからの重要な説明として、会議に直接出席した人物は北朝鮮国民ではなかったことが挙げられる。このレベルの作戦では、北朝鮮関連の脅威アクターは、直接的な関係構築を第三者の仲介者に任せ、実際の工作員を遠ざけておくことが知られている。
Mandiant社は正式に調査に着手したが、Driftエクスプロイトの犯人について公式な発表はまだ行っていない。犯人の特定にはデバイスのフォレンジック調査の完了が必要であり、現在も調査は継続中である。
現在の対応策
本稿執筆時点で、Driftは以下の措置を講じています。
- 残りのプロトコル機能はすべて凍結されました
- 侵害されたウォレットはマルチシグから削除されました
- 攻撃者のウォレットが複数の取引所およびブリッジオペレーターで検出されている。
- マンディアント社は主要な法医学パートナーとして起用されている。
Driftは、エコシステム内の他のチームがこの種の攻撃が実際にどのようなものかを理解し、それに応じて自衛策を講じることができるように、これらの詳細を公表すると述べた。
結論
Drift Protocolのハッキング事件は、監査をすり抜けたコードの脆弱性に関する話ではない。これは、巧妙な人的欺瞞の物語である。攻撃者たちは、6ヶ月かけて対面での会合、実際に機能する金庫システムの統合、そして100万ドルを超える自己資金の預け入れなどを通じて信頼を築き上げ、その後わずか12分で2億8500万ドルを不正に引き出したのだ。
悪意のあるコードのリポジトリと偽のTestFlightアプリという技術的な攻撃手段が効果的だったのは、それらを開くために必要な信頼関係が既に綿密に構築されていたからに他ならない。
DeFiプロトコルにとって、教訓は明白です。攻撃対象領域はスマートコントラクトだけにとどまりません。貢献者のデバイス、サードパーティのリポジトリ、そして業界カンファレンスで築かれたあらゆる関係性までもが攻撃対象となります。UNC4736は、2024年10月のRadiant Capitalと2026年4月のDriftで、いずれも同じように忍耐強く、リソースを投入したアプローチで、このことを2度実証しました。
資料
X のドリフトプロトコル: 3月5日投稿
PeckShield on X投稿(4月1日~2日)
X 上の Lookonchain投稿(4月1日~2日)
よくある質問
Drift Protocolのハッキングはどのようにして起こったのか?
2026年4月1日に発生したDriftへのハッキングは、6ヶ月にわたるソーシャルエンジニアリング作戦の結果だった。攻撃者は定量取引会社を装い、業界カンファレンスでの複数回の対面ミーティングを通じてDriftの貢献者との関係を築き、100万ドル以上を入金して信頼を確立した。そして最終的に、悪意のあるコードリポジトリと偽のTestFlightアプリを使って貢献者のデバイスを侵害した。侵入後、彼らは12分足らずで2億8500万ドルを盗み出した。
Drift Protocolのハッキングの責任者は誰ですか?
Driftの調査によると、今回の攻撃は北朝鮮政府系の脅威グループUNC4736によるものと、中~高程度の確信度で断定されている。UNC4736はAppleJeusまたはCitrine Sleetとしても知られている。Mandiantは、2024年10月のRadiant Capitalハッキング事件もこのグループによるものとしている。オンチェーンの資金の流れが両事件を結びつけており、作戦戦術も北朝鮮関連の既知の活動パターンと一致する。Mandiantは、デバイスのフォレンジック調査がまだ進行中であるため、Driftによる攻撃であるとの正式な断定は行っていない。
Drift Protocolから盗まれた資金はどうなったのか?
攻撃者は、この不正行為の後、盗んだ資産をUSDCとSOLに変換し、CircleのCCTPインフラストラクチャを使用してSolanaからEthereumへブリッジしました。Ethereum上では、資金はETHに変換されました。攻撃者は最終的に129,066 ETH(当時の価値で約2億7300万ドル)を蓄積しました。追跡をさらに困難にするため、追加のSOLはHyperLiquidとBinanceの両方に預け入れられました。
免責事項
免責事項:この記事で述べられている見解は、必ずしもBSCNの見解を表すものではありません。この記事で提供される情報は、教育および娯楽目的のみであり、投資アドバイスまたはいかなる種類のアドバイスとして解釈されるべきではありません。BSCNは、この記事で提供される情報に基づいて行われた投資決定について一切責任を負いません。記事を修正する必要があると思われる場合は、BSCNチームに電子メールでご連絡ください。 [メール保護].
著者
Soumen Dattaソウメンは2020年から暗号資産の研究者として活動しており、物理学の修士号を取得しています。彼の執筆と研究は、CryptoSlate、DailyCoin、BSCNなどの出版物に掲載されています。彼の専門分野は、ビットコイン、DeFi、そしてイーサリアム、ソラナ、XRP、チェーンリンクといった将来性の高いアルトコインです。彼は分析の深さとジャーナリズム的な明快さを融合させ、暗号資産初心者とベテラン読者の両方に洞察を提供しています。
(広告)
最新ニュース
1時間 : 44分前
Coinbase Quantum諮問委員会:仮想通貨は今のところ安全だが、時間は刻々と過ぎている
2026 年 4 月 21 日
CLARITY Actの最新情報:また延期?!
2026 年 4 月 21 日
日本のJSCC、トークン化担保のためのカントンネットワークを本格的に活用
2026 年 4 月 21 日
Sui NetworkがRedotPayとの新たな連携により、日常的な決済分野に進出
2026 年 4 月 21 日
ChainlinkとOpenAssetsが提携し、機関投資家向けトークン化資産インフラストラクチャを強化
2026 年 4 月 21 日
リップル社、2028年までにXRPレジャーを量子耐性にする計画を発表
2026 年 4 月 20 日
Asterの登録ユーザー数が15万人を突破
2026 年 4 月 20 日
Kaspa Networkが2億件の取引に迫る一方、Toccataもそれに迫る
(広告)
最新のCrypto News
最新の暗号通貨ニュースやイベント情報を入手しましょう
