今年最大の分散型金融ハッキングが先週4月1日に発生しました。Solanaネットワーク上で最大級のパーペチュアルDEXの一つであるDrift Protocolが攻撃を受け、約2億8,600万ドルがプロトコルから消失しました。この攻撃は北朝鮮関連のハッカーによるものとされ、ハッキング全体がわずか10秒で完了しました。しかし、このハッキングで驚くべきなのは、その緻密な性質です。コードは破られておらず、スマートコントラクトにもバグはありませんでした。EllipticやTRM Labsなどの暗号資産フォレンジック企業による調査は、実際にははるかに計算された手口であることを示しています。
北朝鮮の攻撃者は3週間かけてCarbonVoteという偽のトークンを作成し、数千ドルを投入して本物に見せかけ、同時にDriftの5人のマルチシグセキュリティー評議会署名者のうち2人にソーシャルエンジニアリングを仕掛け、彼らが完全には理解していない隠れた承認を事前に署名させました。その後、Solanaの「durable nonces」という機能を使用してこれらの署名を1週間以上保留し、適切なタイミングを待ちました。4月1日に必要だったのは、単一の取引だけでした。
Ellipticが指摘するように、この攻撃は今年だけで北朝鮮に関連する18番目の暗号資産ハッキングであり、約3億ドルが業界から流出しました。ハッキングから4日後、LedgerのCTOは記録に残る形で、このハッキングの警戒すべき性質と、AIがこのような攻撃のコストを「ゼロに近づけている」と強調しました。この発言は非常に重要です。なぜなら、Driftハッキングは、このような作戦が現在どのように機能するかのケーススタディだからです。攻撃者はゼロデイ脆弱性や一流の暗号学者を必要としませんでした。必要だったのは、忍耐力、説得力のある偽トークン、そして操作できる2人の人間だけでした。このハッキングは、現在の分散型金融における構造的脆弱性を実際に露呈しました。分散型金融は、騙される可能性のある少数の人々によって保護された数十億ドル規模のインフラを構築している一方で、敵対者はまさにそれを行うことに長けてきています。
北朝鮮が10秒で2億8,600万ドルを盗んだ方法
Driftプロトコルハッキングは、3週間にわたる準備期間を経た高度な攻撃でした。Bloombergが4月1日に侵害を最初に報じた際、Driftプロトコルは約2億8,600万ドルのユーザー資産が流出したことを確認しました。この計画全体は実際には3月11日に始まり、攻撃者は平壌時間の午前9時頃にTornado Cashから10 ETHを引き出し、それを使用して偽トークンCarbonVote(CVT)を展開しました。これは完全に架空の資産で、数千ドルの流動性で育成され、仮装売買によって維持されました。
その後の2週間、3月23日から3月30日の間に、攻撃者はdurable nonceアカウントを開設しました。これはSolanaネットワーク上の正当な機能で、取引を事前に署名し、期限切れなしに無期限に保持できるものです。この期間中、攻撃者はDriftの5人のセキュリティー評議会マルチシグ署名者のうち2人にソーシャルエンジニアリングを仕掛け、正常に見える取引を承認させましたが、TRM Labsが後に確認したように、重要な管理者制御のための隠れた承認が含まれていました。
最後のピースは3月27日に落ちました。BlockSecが報じたように、Driftはセキュリティー評議会をタイムロックゼロの新しい2/5閾値構成に移行しました。これは基本的に、誰かが来るべきことをキャッチできる唯一の遅延を取り除きました。4月1日が来る頃には、罠は数日間完全に仕込まれていました。
4月1日、攻撃者はこれらの事前署名された承認を使用してCarbonVoteを有効な担保として登録し、操作されたオラクル価格設定を通じてその価値を数億に膨らませ、ガバナンスが掌握されました。そこから、31件の出金取引が数秒でDriftの金庫を空にしました。最大の塊だけで1億5,500万ドル相当のJLPトークンが含まれ、数千万ドルのUSDC、SOL、ETH、その他のリキッドステーキングトークンが流出し、プロトコルのTotal Value Lockedは約5億5,000万ドルから2億5,000万ドル以下に瞬時に崩壊しました。
このハッキングの速度は、この物語の一部に過ぎません。3週間にわたる詳細な計画が10秒のハッキングで終わったことは、コードではなくガバナンスが、分散型金融において最も弱いリンクになりやすいことを示しました。
2026年における北朝鮮の3億ドル暗号資産戦争
北朝鮮関連の攻撃者によって行われたとされるこのハッキングは、決して孤立した事件ではありません。実際、過去数年間の最も注目度の高いハッキングのいくつかを見てみると、これははるかに大規模な国家主導のキャンペーンの一部であることが明らかになります。今年だけでも、Ellipticは、Drift攻撃がDPRKに起因する18番目の暗号資産盗難であると報告しており、今年これまでに流出した資金の総額は3億ドルを超えています。今年を超えて見ると、単一の国からのこのような規模のハッキングは無視することが非常に困難になります。昨年、北朝鮮関連のアクターはTRM Labsによると19億2,000万ドルを盗み、Chainalysisはこの数字を暗号資産で20億2,000万ドルとしています。これは、このグループが実行したハッキングの前年比51%の増加を示し、彼らの史上最高の強奪額を67億5,000万ドルに押し上げました。
北朝鮮は2025年のすべてのサービス侵害の記録的な76%を占めており、一国が業界で発生している盗難の圧倒的多数に責任があることを意味します。その背景に対して、2022年のWormhole侵害に次いでSolanaエコシステム内で2番目に大きな攻撃となったDriftハッキングは、攻撃のパターンに適合します。
そのパターンを定義するのは一貫性です。2025年2月のBybitハッキングは、史上最大の暗号資産盗難であり、ソーシャルエンジニアリング、侵害されたアクセス、調整された資金交換を含むほぼ同一の設定を持っていました。TRM Labsは、DPRK運営者が数時間以内に異なるチェーン間で資金をブリッジするために「中国のマネーロンダリング」ネットワークにますます依存していると指摘しています。
Drift攻撃は実際に、偵察、人間操作、すでに整備されたグローバルなマネーロンダリングインフラを備えた数週間にわたる作戦を実行する国家支援チームのシステムを示しています。
AIが攻撃コストを「ゼロに近づけている」:LedgerのCTOが警告
Drift流出から4日後、Ledger CTOのCharles GuillemetはCoinDeskに、事件全体を再構成する何かを語りました。「脆弱性を見つけてそれらを悪用することが本当に、本当に簡単になっています」と彼は言いました。「コストはゼロに近づいています。」GuillemetはDriftの名前を挙げませんでしたが、その正確なメカニズムを説明しました。AIは攻撃者がコードバグをより速く見つけるのを助けるだけでなく、ソーシャルエンジニアリングをより説得力のあるものにし、フィッシングをよりパーソナライズされたものにし、北朝鮮の運営者がDriftで3週間費やした準備作業を桁違いに安価でスケーラブルにします。彼はまた、防御側の複合的な問題を指摘しました:より多くの開発者がAI生成コードに依存するにつれて、脆弱性は人間のレビュアーがそれらをキャッチするよりも速く広がる可能性があります。「『安全にする』ボタンはありません」と彼は言いました。「私たちは設計上安全でないコードを大量に生産することになります。」ハッキングと攻撃は過去1年間で14億ドルの暗号資産損失を引き起こし、Guillemetの予測では、曲線は平坦ではなく急になります。
Driftハッキングは、その警告の最も明確な概念実証です。攻撃者はコードに触れず、鍵を持つ2人の人間を標的にしました。AIは、マルチシグ署名者を騙して完全には理解していない取引を承認させるのに十分説得力のある口実を生成できるなら、スマートコントラクトを破る必要はありません。Guillemetは業界が分裂すると予想しています:ウォレットやコアプロトコルのような重要なシステムはセキュリティーに多額の投資を行い適応しますが、より広範なソフトウェアエコシステムの多くは追いつくのに苦労する可能性があります。彼の推奨する修正、数学的証明を使用した形式検証、秘密鍵のハードウェア分離は、構造的には健全ですが、Driftを含むほとんどの分散型金融プロトコルがまだ組み込んでいない制度的規律のレベルを必要とします。「インターネットにさらされていない専用デバイスを持っている場合、それは設計上より安全です」と彼は言いました。Driftセキュリティー評議会にはそのようなバッファはありませんでした。2つの署名、ゼロタイムロック、偽トークン、それだけで十分でした。
次に何が起こるか:Driftの回復と業界の対応
Drift Protocolにとって次に何が起こるかは全く明確ではなく、初期のシグナルはすでに業界を分断しています。直後に、Anatoly Yakovenkoは潜在的な回復パスを提案しました:影響を受けたユーザーにIOU形式のトークンエアドロップを発行し、Bitfinexの7,200万ドルハッキング後の2016年のプレイブックを反映します。
アイデアはシンプルです — 今すぐ損失を社会化し、プロトコルが回復すれば時間をかけてユーザーに返済します。しかし、文脈は大きく異なります。DriftのTVLはほぼ半分に削減され、入金と出金は停止されたままであり、Bitfinexとは異なり、これらの負債を支える集中型収益エンジンを欠いています。これは即座の反発を招きました:この場合、IOUトークンは、償還への明確なパスがない純粋に投機的な手段になるリスクがあります。
同時に、オンチェーン活動は新たな懸念を引き起こしています。Onchain Lensは、攻撃直後にDriftチームにリンクされたウォレットが5,625万DRIFTトークン(≈244万ドル)をBybitやGateを含む中央集権型取引所に移動したことを指摘しました。これは通常、売り圧力に先行する動きであり、流動性危機中のインサイダーポジショニングについての憶測を煽っています。
一方、攻撃者の資金はすでにチェーン間でブリッジされており、特にEthereumに、日々が経過するにつれて意味のある回収の確率を減少させています。より広い意味では、この事件はDriftで終わらないということです。これは、マルチシグセキュリティー基準やタイムロック要件からオラクル設計や実行制御に至るまで、分散型金融ガバナンス自体に関する業界全体の精査を加速させる可能性があります。次に来るものは3つの変数にかかっています:Driftが信頼できる回復計画を提示できるかどうか、資金の一部を追跡または凍結できるかどうか、そしてこれが最終的に構造改革を強制するか、または業界が通り過ぎるもう一つの高価な教訓になるかどうかです。
これを読んでいるなら、あなたはすでに先を行っています。ニュースレターで先を行き続けましょう。
Source: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
