6ヶ月間の偽装工作、2億7000万ドルが消えた

1分以内に、2億7000万ドルが消えた。しかしその「1分」の前には、6ヶ月間の綿密な偽装工作があった。

何が起きたのか

2026年4月1日、分散型金融プロトコルDrift Protocolのボールトから2億7000万ドル相当の資産が流出した。エイプリルフールの日付は偶然ではないかもしれない。しかしDriftチームが日曜日に公開した詳細なインシデントレポートが明らかにしたのは、単なるハッキング事件ではなく、国家レベルの情報工作だった。

攻撃者が最初に接触してきたのは2025年秋、大手暗号資産カンファレンスの場だった。彼らは「クオンツ取引会社」を名乗り、技術的な知識も豊富で、検証可能な職歴まで持っていた。Driftのコントリビューターたちは疑う理由を見つけられなかった。Telegramグループが設立され、取引戦略やボールト統合についての実質的な議論が続いた。これはDeFiプロトコルと取引会社が通常行うオンボーディングプロセスと何ら変わらないものだった。

2025年12月から2026年1月にかけて、グループはDrift上に「エコシステムボールト」を開設し、100万ドル以上の自己資金を預け入れた。2月と3月には、Driftのコントリビューターたちが複数の国際カンファレンスで彼らと直接対面した。攻撃が実行された4月1日までに、この「関係」はほぼ半年の歴史を持っていた。

どうやって侵入したのか

侵害は2つのベクターから行われた。一つはAppleのTestFlightプラットフォームを悪用したもので、攻撃者は自社のウォレットアプリとして偽装したアプリをコントリビューターにインストールさせた。TestFlightはApp Storeのセキュリティ審査を回避できるため、悪意あるコードを忍び込ませやすい。

もう一つは、開発者の間で広く使われているコードエディタVSCodeおよびCursorの既知の脆弱性を突いたものだ。この脆弱性はセキュリティコミュニティが2025年後半から警告を発していたもので、ファイルやフォルダを開くだけで、ユーザーへの警告なしに任意のコードが実行される。デバイスが侵害されると、攻撃者はマルチシグ承認に必要な2つの署名を取得することができた。

広告

広告掲載について

[email protected]

広告

事前署名されたトランザクションは1週間以上休眠状態に置かれ、4月1日に起動。1分以内にプロトコルのボールトから全資産が流出した。

誰が、なぜ

調査の結果、攻撃はサイバーセキュリティ業界でUNC4736（別名AppleJeusまたはCitrine Sleet）として追跡されている北朝鮮国家系グループに帰属された。オンチェーンの資金フローが2024年のRadiant Capital攻撃者と繋がっており、既知のDPRK関連ペルソナとの手口の重複も確認された。

重要な点は、カンファレンスに実際に姿を現した人物たちは北朝鮮国籍ではなかったということだ。このレベルのDPRK脅威アクターは、十分な経歴・職歴・人脈を持ち、デューデリジェンスにも耐えうる「完全に構築されたアイデンティティ」を持つ第三者仲介者を活用することが知られている。

DeFiセキュリティモデルへの根本的な問い

Driftはこの事件を受けて、他のプロトコルに対しアクセス制御の監査と、マルチシグに関わるすべてのデバイスを潜在的な標的として扱うよう警告した。しかしより深い問題が浮上している。

DeFi業界が主要なセキュリティモデルとして依存してきた「マルチシグガバナンス」は、署名者のデバイスが安全であることを前提としている。今回の攻撃は、その前提そのものを崩した。攻撃者が6ヶ月と100万ドルを費やして正当な存在として生態系内部に潜り込み、実際に対面で関係を築き、本物の資本を投入し、待ち続けるとすれば、どのセキュリティモデルがそれを検知できるのか。

日本の暗号資産取引所や機関投資家にとっても、この問いは他人事ではない。SBIやMonexなど日本の金融機関がDeFiや暗号資産エコシステムへの関与を深める中、「技術的なセキュリティ対策」だけでなく「人的・組織的なインテリジェンス対策」の必要性が問われている。金融庁が暗号資産業者に求めるAML/KYCフレームワークも、このような長期潜入型攻撃に対しては十分な防御にならない可能性がある。

また、今回の攻撃で盗まれた資産の一部はUSDC（米ドル連動ステーブルコイン）だったが、発行元のCircleは資産凍結の対応が遅いとして批判を受けている。ステーブルコインの「凍結可能性」という中央集権的な機能が、分散型エコシステムの中でどう機能すべきかという議論も再燃している。