BlockBeatsのメッセージ、4月5日、公式発表によると、Driftは法執行機関、フォレンジックのパートナー、そしてエコシステムチームと連携し、2026年4月1日に発生したハッキング攻撃事件を徹底的に調査しているとのことです。現在、すべてのプロトコル機能は停止されており、影響を受けたウォレットはマルチシグから削除され、攻撃者のアドレスは取引プラットフォームおよびクロスチェーンブリッジで標記されています。セキュリティ企業Mandiantが調査に介入しました。初期結果では、今回の攻撃は短期的なものではなく、約6か月にわたる継続的で、組織化された背景と十分なリソースによる諜報侵透行動であることが示されています。2025年秋には、自称する量的取引会社の関係者が複数の国際暗号通貨会議でDriftチームのメンバーに接触し、その後数か月の間も関係を継続して構築し、協力を進め、さらにはプラットフォーム内に100万ドル超の資金を投入して信頼性を高めていました。
調査の結果、これらの人物は専門的な背景と技術力を備えており、Telegramのグループを通じてチームと長期間にわたり取引戦略やプロダクト統合についてコミュニケーションし、また複数回の対面会議で中核となる貢献者に会っていました。2026年4月の攻撃発生後、関連するチャット履歴およびマルウェアは迅速に削除されました。Driftは、今回の侵入は複数の経路で実行された可能性があるとみており、チームメンバーに対して悪意のあるコードを含むリポジトリをクローンさせること、またはウォレット製品に偽装したテストアプリをダウンロードさせることなどが含まれるとしています。さらに、攻撃は当時セキュリティコミュニティが警告していたVSCodeとCursorの脆弱性を悪用し、ユーザーが気づかない状態で悪意のあるコードを実行した可能性もあります。
オンチェーンの資金の流れと行動パターンの分析に基づき、セキュリティチームは初期的に、当該行動が2024年のRadiant Capital攻撃事件の背後にある脅威組織と関連しているとの見方を示しており、この組織は朝鮮背景のハッカー集団(UNC4736 / AppleJeusなど)に帰せられています。注目すべきは、対面で接触した人物は朝鮮国籍ではなく、第三者の仲介者だったことです。Driftによれば、攻撃者は職歴や公開された経歴を含む、完全で信頼できるアイデンティティ体系を構築しており、長期的な接触を通じて信頼を獲得したとのことです。現在も調査は継続中であり、チームは業界に対して、デバイスのセキュリティ審査と権限管理の強化を呼びかけています。
