暗号資産弁護士：Drift事件は民事過失を構成する可能性

Solanaベースの分散型金融プラットフォームであるDrift Protocolは、2億8,000万ドルの攻撃によってセキュリティ体制の継続的な欠陥が露呈した後、改めて厳しい監視を受けています。事後レビューと法律顧問からの解説は、この侵害が基本的な運用セキュリティ対策で防止できたものと位置づけ、民事過失とDeFiプロジェクトが直面するより広範なリスク環境についての議論を促しています。

弁護士のAriel Givnerは、このシナリオをユーザー資金の保護失敗と説明し、「平易に言えば、民事過失とは彼らが管理していた資金を保護する基本的な義務を怠ったことを意味する」と述べました。彼女の評価は、攻撃がどのように展開し、プラットフォームがどのように対応したかを詳述したDriftの事後分析に続くものでした。これらのコメントは、攻撃者がマルチシグネチャ設定やその他の重要なコントロールを侵害するためにソーシャルエンジニアリングとサプライチェーン侵害に頻繁に依存する環境において、Driftの手順の適切性を批判者が疑問視する中で出されたものです。

この議論は、より大きな懸念を浮き彫りにしています。ソーシャルエンジニアリングとプロジェクト侵入は、暗号資産における最も効果的な攻撃ベクトルの一つであり続けており、ユーザー資金を流出させ、ユーザーがハイステークスの流動性と利回り機会を依存するプラットフォームへの信頼を損なう能力があります。

重要なポイント

• Drift Protocolは2億8,000万ドルの攻撃の後、基本的なセキュリティ慣行について精査を受けており、法的観点では運用上の欠陥が疑われることから、この事件を民事過失と位置づけています。
• 専門家は、エアギャップされていないシステムへの署名鍵の保管や、特にカンファレンスで出会った関係者に対するベンダーと開発者のデューデリジェンス不足などの失策を指摘しています。
• 攻撃者のアプローチは数ヶ月の計画を伴い、標的型ソーシャルエンジニアリングと開発者のマシンを通じて導入されたマルウェアに至ったと報告されています。
• 北朝鮮と連携した脅威アクターとの関連性の可能性を示す兆候があり、Driftは2024年10月のRadiant Capitalハッキングの背後にある同じグループが関与していたという「中程度から高い信頼度」を表明しています。
• Radiant Capitalの2024年の事件は、業界全体のリスクを国家支援のサイバー作戦における既知のエスカレーションパターンと結びつける物語の一部となっています。

攻撃の経緯と防御の教訓

Drift Protocolは、侵害がどのように展開したかを詳述する更新を公開し、この攻撃が6ヶ月の計画の産物であったと主張しました。攻撃者は2025年10月の主要な暗号資産業界カンファレンスでDriftに接近し、潜在的な統合とパートナーシップへの関心を示したと報告されています。その後数ヶ月にわたり、悪意のあるアクターはDrift開発者との関係を築き、最終的に悪意のあるリンクを配信し、プロトコルのマルチシグネチャコントロールを管理するために使用されていた開発者のマシンを侵害するマルウェアを埋め込みました。

Driftの説明は、関与した者が北朝鮮国民ではなかったことを強調していますが、同社は脅威アクターが国家支援のサイバーキャンペーンに関連するより広範なパターンと結びついていることを認めました。「中程度から高い信頼度」の同時期の評価において、Driftはこの事件を2024年10月のRadiant Capitalハッキングを以前に組織したと考えられるアクターと結びつけました。Radiant Capitalは、その侵害が北朝鮮と関連する元請負業者を装ったオペレーターからTelegramを介して拡散されたマルウェアに関与していたことを開示していました。Driftの更新は直接の責任の系統を確認するには至っていませんが、これらの相関関係は、洗練された敵対者がソーシャルチャネルを活用してエンジニアリングワークフローを侵害する持続的な脅威環境を浮き彫りにしています。

法律およびセキュリティの観察者は繰り返されるテーマを強調しています。成熟した暗号資産チームでさえ、ガバナンス慣行が開発活動と機密資格情報の間の厳格な分離を強制しない場合、サプライチェーンとソーシャルエンジニアリング攻撃のリスクを過小評価する可能性があります。Givnerの批判はDriftの事件の詳細を超えて、「エアギャップ」された署名鍵は日々の開発作業から分離して保管されるべきであり、第三者の開発者や請負業者との関与には厳格な審査と継続的なデューデリジェンスが必要であるという普遍的な期待を指摘しています。彼女の言葉では、多くのプロジェクトが既にこれらの原則を遵守しているのは、暗号資産の環境が「ハッカーでいっぱい」であり、怠慢は財務的にも評判的にも高くつく可能性があるためです。

業界の背景:より広範なセキュリティパラダイムのエコー

Drift事件は、DeFiプロジェクトが敵対的活動が高まる時期にリスクをどのように管理するかについてのより広範な議論が展開される中で到来しました。ソーシャルエンジニアリング、フィッシング、開発者エコシステムを標的とするマルウェアキャンペーンは、高プロファイルのハッキングに繰り返し関与しています。2024年後半のRadiant Capitalの事件は、マルウェアを拡散するために北朝鮮と関連する元請負業者を装ったオペレーターが関与したもので、人的要因が最も弱いリンクとなった場合の従来の防御措置の限界についての警告物語として、セキュリティ分析で頻繁に引用されています。

業界の観察者は、Driftのエピソードが鍵管理に関する堅牢なガバナンスフレームワーク、正式なベンダー評価プロセス、署名鍵の保管と使用方法と場所に関する厳格なコントロールの必要性を強化していると指摘しています。攻撃者が開発者との信頼関係を悪用し、侵害されたデバイスに依存してマルチシグネチャコントロールへのアクセスを取得した場合、是正への道筋はおそらくエアギャップの強化、鍵管理のためのハードウェアセキュリティモジュールの実装、継続的な監視と鍵ローテーション慣行の制度化を伴うでしょう。「デューデリジェンス」への強調はまた、カンファレンス、ハッカソン、第三者コラボレーションがどのように審査されるか、そしてより厳格な第三者リスク管理への移行がセクター全体で標準的な慣行となるかどうかについての疑問を提起します。

投資家とビルダーにとっての意味

投資家にとって、Drift事件は、リスクコントロールがDeFiにおけるプラットフォームの信頼性と資本配分の主要な推進力であり続けることを思い出させるものです。レジリエントなオンボーディング、堅牢な鍵管理、厳格なベンダー精査を実証できるプロジェクトは、セキュリティショックが価値と信頼性の認識を迅速に変える可能性がある市場で際立つ可能性があります。ビルダーは、オープン性とセキュリティの間の微妙なトレードオフに直面しています。コラボレーションと迅速な統合はDeFiイノベーションの特徴ですが、Driftのエピソードは、十分なリソースを持つチームでさえ、サプライチェーン侵害がユーザー損失に変換されるのを防ぐために、セキュリティ訓練、レッドチーム演習、明確な職務分離を正常化する必要があることを示唆しています。

規制当局と業界団体が標準化されたベストプラクティスについて議論する中、Driftの経験は、特にマルチパーティ計算とマルチシグネチャフレームワークに依存するオンチェーンプロトコルに対する必須のセキュリティベンチマークについての会話を加速させる可能性があります。その間、ユーザーはDriftと同様のプラットフォームがどのように対応するかを監視する必要があります—セキュリティアップグレード、パートナー審査、透明な事後報告を通じて—これはセクターがセキュリティに関するレトリックを測定可能な保護策に変換する意欲の実用的なバロメーターとして機能します。

一方、Driftは更新で説明された即時の是正措置を超えて、次のステップを公に詳述していません。プラットフォームがガバナンス、ベンダーリスク管理、インシデント対応の頻度をどの程度見直すかは未定であり、より厳格なセキュリティコントロールの業界全体での採用が、DeFiプロトコルが外部パートナーとどれだけ迅速かつ流動的に運用できるかを変える可能性があるかどうかも同様です。

不確実なのは、市場がこれらの暴露にどれだけ迅速に反応するか、そして脆弱性開示に基づいて構築された信頼シグナルが、セキュリティギャップを公に対処するプラットフォームへのユーザーによる長期的なコミットメントに変換されるかどうかです。今のところ、この事件は繰り返される教訓を強調しています。DeFiにおいて、レジリエンスと破滅の違いは、チームが基本的なセキュリティ慣行を実装し強制する規律にしばしば依存します—侵害の後ではなく、前に。

調査と是正が続く中、市場の監視者はDriftのコミュニケーション、業界セキュリティ基準の進化、開発者環境と署名鍵管理のセキュリティ確保の基準を引き上げる競合他社によるその後の動きに細心の注意を払うでしょう。セクターの今後の道筋は、この事件がエコシステム全体でより強力なコントロールとより厳格な第三者リスクガバナンスの有意義な採用を触媒するかどうかによって形成されるでしょう。

この記事は、Crypto Breaking News(暗号資産ニュース、ビットコインニュース、ブロックチェーン更新情報の信頼できる情報源)に「暗号資産弁護士:Drift事件は民事過失を構成する可能性」として最初に公開されました。