広場
最新
注目
ニュース
プロフィール
ポスト
Raveena
2026-04-06 14:13:12
フォロー
#DriftProtocolHacked
DriftProtocolHacked: 北朝鮮関連DeFi強盗の完全内訳
短い概要:2026年4月1日、はい、本当の攻撃です(冗談ではありません)、Solana最大の永続取引所Drift Protocolは約
#DriftProtocolHacked
百万$285M を失い、DeFi史上最も高度なソーシャルエンジニアリング攻撃と呼ばれるものに巻き込まれました。攻撃者は6ヶ月間信頼を築き、チームと直接会い、自分たちの資金を数百万ドル投入し、最終的に署名者マシンを侵害してわずか12分でプロトコルを流出させました。
---
1. タイムライン:どのように展開したか
攻撃実行 (2026年4月1日)
· 総盗難額:約$285 百万$1 、複数プールから:JLP ~$155.6M(、USDC、SOL、cbBTC、wBTC、WETH、ミームコイン
· 方法:攻撃者は事前署名された「耐久ノンス」取引を起動し、偽のCVTトークンを有効な担保としてリストアップ、引き出し制限を最大に引き上げ、すべてを流出させた
· 速度:31件の引き出し取引が約12分で完了
· 即時換金:盗まれた資産を約129,000 ETH(約2億19283746565748392億ドル)にスワップし、Jupiterを経由してEthereumにブリッジ
即時対応
· 入金/出金は即座に凍結
· Drift確認:「これはエイプリルフールの冗談ではありません」
· すべてのプロトコル機能停止、侵害されたウォレットはマルチシグから除外
---
2. 6ヶ月間の潜入:体系的情報操作
これはコードのバグや偶発的なハッキングではありません。完全なスパイ活動でした。
フェーズ1:最初の接触 )2025年秋$285
クォンティタティブトレーディング会社を名乗る個人が主要な暗号会議でDriftの関係者に接近。技術的に洗練され、信頼性があり、すぐにTelegramグループを設立。
フェーズ2:信頼構築 (2025年12月 - 2026年1月)
· Driftに正規のエコシステム・ボールトをオンボーディング
· 信頼性を高めるために自分たちの資金を約(百万ドル投入
· 取引戦略や統合について複数の作業セッションを実施
· 複数国の会議で直接Drift関係者と面会
フェーズ3:技術的侵害 )2026年2月 - 3月(
2つの攻撃ベクトルが特定:
ベクトル 方法
悪意のあるリポジトリ 攻撃者はVaultフロントエンド展開を装いコードリポジトリを共有。2025年12月から2026年2月の既知のVSCode/カーソルの脆弱性により、フォルダを開くだけで静かに任意コード実行が可能に
TestFlightアプリ 攻撃者はAppleのTestFlightを通じてベータ版「ウォレットアプリ」のインストールを説得
マシンが侵害されると、攻撃者はトランザクションの誤表記を通じてマルチシグ承認を取得。
フェーズ4:罠の設置 )2026年3月27日(
Driftはセキュリティ評議会を0秒タイムロックの2-of-5マルチシグに移行—管理操作は即時実行可能に。事前署名済みの取引はすでに待機状態。
フェーズ5:実行 )2026年4月1日$1
· 攻撃者は待機中の取引を起動
· 攻撃が開始されるとTelegramチャットとマルウェアは完全に削除
· 12分で資金を流出
---
3. 責任所在:北朝鮮のUNC4736 (ラザルス・サブグループ)
中程度から高い信頼度で、DriftとSEAL 911チームはこれをUNC4736(別名AppleJeus、Citrine Sleet、Gleaming Pisces)に帰属させている—2024年10月のRadiant Capitalハッキングと同じグループ。
北朝鮮関連の証拠:
· オンチェーンの重複:資金流れはRadiant Capital攻撃者に遡る
· 運用パターン:2022年のRoninブリッジハック(6億1.56億ドル)と同じターゲット志向のアプローチ
· Tornado Cash起源:3月11日にTornado CashからETH引き出しで攻撃開始
· 平壌タイムスタンプ:CVT展開のタイムスタンプは約09:00の平壌時間と一致
· 洗浄速度:即時のクロスチェーン変換とCEXによる凍結なし
重要な注意点:対面の関係者は北朝鮮国籍ではない
「会議に実際に出席した人物は北朝鮮国籍ではありません。北朝鮮の脅威者は、関係構築のために第三者の仲介者を使うことが知られています。」
これらの仲介者は、雇用履歴や公開資格情報、職業ネットワークなどを完全に構築し、相手側のデューデリジェンスに耐えうる身分を持っていました。
---
4. 技術的内訳:どのようにして攻撃が行われたか
「耐久ノンス」攻撃
Solanaには「耐久ノンス」と呼ばれる正当な機能があり、取引を事前に署名し後から実行できる。この仕組みを利用して、攻撃者は:
1. マルチシグ署名者にルーチン取引の承認を得る
2. その承認は予備の認証キーとなる
3. 3月27日にタイムロックが解除されると、事前署名された取引が即座に有効化
偽の担保スキーム
1. 3月11日:攻撃者はTornado CashからETHを引き出し
2. 3月12日:CVT(carbonvote)トークンを展開
3. 3週間:Raydiumに最小流動性を供給し、ウォッシュトレーディングで約1ドルの価格を維持
4. 4月1日:DriftのオラクルはCVTを正当な担保と認識→攻撃者は価値のないCVTを預け、プロトコルはそれに対して実資産を発行
---
5. 影響:誰が被害を受けたか
直接損失:約(百万)
資産額 価値(USD)
JLPトークン 約41.7M ~$155.6M
USDC さまざま ~$80-100M
SOL さまざま 重要
cbBTC/wBTC/WETH さまざま 残り
影響を受けたプロトコル (感染)
· Prime Numbers Fi:数百万ドル損失
· Carrot Protocol:TVLの50%に影響後、ミント/リデンプション機能停止
· Pyra Protocol:完全に引き出し停止
· Piggybank:4170万6千ドルを失い、財務から返済済み
Jupiterの対応
「Jupiter LendはDriftのマーケットには関与していません。JLP資産は基礎資産で完全に裏付けられています。これはSolana DeFiにとって厳しい日です。」
影響を受けていないトークン
· Unitas Protocol
· Meteora
· Perena(ただしNeutral Trade管理のJLPボールトは影響を受けた)
---
6. ステーブルコイン論争:Circle対Tether
大きな二次的話題:なぜCircleは盗まれたUSDCを凍結しなかったのか?
数字の詳細
· (百万ドルのUSDCがCircleのクロスチェーン転送プロトコル(CCTP)を通じてSolanaからEthereumへブリッジされた
· これが6時間以上にわたり、介入なしで行われた
対比
プロトコルの対応
USDT0 )Tether(:90分以内にSolanaのクロスチェーン通信を停止
Circle CCTP:介入記録なし、パーミッションレスで運用
批判点
オンチェーンアナリストのZachXBTはCircleの対応の遅れを公に批判。業界の観測者は、これが根本的な設計のトレードオフを露呈していると指摘:緊急時の中央集権的コントロール()USDT0()と、パーミッションレスな分散化()CCTP()の選択。
参考までに、Curve Financeの創設者Michael Egorovは次のように述べている:「北朝鮮のハッカーが関与している場合、回復の可能性はゼロです。彼らは協力せず、法執行も恐れません。」
---
7. Driftの対応と回復努力
即時措置 )4月1日-3日$50M
· すべてのプロトコル機能停止
· 侵害されたウォレットをマルチシグから除外
· 攻撃者のアドレスを取引所やブリッジ運営にフラグ付け
· ハッカーウォレットに「話す準備ができている」とのオンチェーンメッセージ送信
交渉試行 (4月3日)
Driftは盗難資金を保有する4つのEthereumウォレットに対し、次のメッセージを送信:
「関係者の重要情報が特定されました。コミュニティに対し、第三者の帰属が完了次第、さらなるアップデートを共有します。」
唯一の反応?ランダムなウォレット(ETH保有)から:「(百万送ってくれ、Driftチームをからかいたい」。
フォレンジック調査
· Mandiantに調査を依頼
· SEAL 911チーム(Taylor Monahan、tanuki42_、pcaversaccio、Nick Bax)にクレジット
· 完全なデバイスフォレンジック完了後に正式な帰属
tanuki42_のコメント
「これは私が見た中で最も精巧でターゲットを絞った攻撃だと思います。北朝鮮の関与とみられる複数の仲介者を募集し、実際の暗号イベントで特定の人物を標的にするのは異例の戦術です。」
---
8. DeFiにとってこれがすべてを変える理由
厳しい現実
「攻撃者が6ヶ月間費やし、)百万ドルを投資し、直接会い、実資金を預け、忍耐強く待つことができるなら、どのセキュリティモデルがそれを検知できるのか?」
学んだ教訓
1. タイムロックは必須。Driftが3月27日に解除したように、これを外すと複雑な攻撃も12分の現金引き出しに変わる
2. ソーシャルエンジニアリングはコードの脆弱性よりも危険。最も洗練されたコード監査も、人間が悪意のあるVSCodeフォルダを開いたりTestFlightアプリをインストールしたりするのを止められない
3. パーミッション制と非パーミッション制のセキュリティの違い。USDT0とCCTPの対比は、ステーブルコイン設計の根本的なトレードオフを示す
4. 北朝鮮は今後も存在し続ける。Ellipticは2026年第1四半期だけで$285 盗難資金を追跡し、北朝鮮関連の関係者が過去数年で65億ドル超を不正流用していると報告
今後のDriftの展望
· 資金が回収されるか、主要な支援策が出てこない限り、清算、破産、訴訟の道へ進む可能性大
· 4月3-5日時点で包括的な補償計画は未発表
· DPRK関与の場合の回復確率:0%(Michael Egorovの見解)
---
9. 主要ウォレットとオンチェーンデータ
攻撃者ETHウォレット (Post-bridge)
· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674
所持合計:約105,969 ETH(約19283746565748392億1.56億ドル)(
Driftのオンチェーンメッセージ送信者:
· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105
---
最終的な結論
これはハッキングではありません。国家レベルの敵対的情報操作であり、DeFiプロトコルに対する6ヶ月間の敵対的スパイ活動でした。攻撃者は:
· 偽の完璧な身分を持つ第三者仲介者を利用
· 複数国の会議でターゲットと直接会う
· 実資金100万ドル以上をカバーとして預ける
· 信頼された開発者ツール()VSCode(やAppleのTestFlight)を悪用
· 完璧なタイミングで12分間の資金流出を実行
DeFiが生き残るには、業界はもはやスマートコントラクトのバグだけでなく、ソーシャルエンジニアリングと国家レベルの関与者が脅威モデルであることを受け入れる必要がある。
「調査によると、使用されたプロフィールは雇用履歴や公開資格情報、職業ネットワークを含む完全に構築された身分であり、ビジネス関係の中での審査に耐えうるものでした。」 — Drift Protocol
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については
免責事項
をご覧ください。
1 いいね
報酬
1
1
リポスト
共有
コメント
コメントを追加
コメントを追加
コメント
QueenOfTheDay
· 2時間前
月へ 🌕
原文表示
返信
0
人気の話題
もっと見る
#
GateSquareAprilPostingChallenge
648.39K 人気度
#
WeekendCryptoHoldingGuide
60.34K 人気度
#
IsraelStrikesIranBTCPlunges
25.66K 人気度
#
CryptoMarketSeesVolatility
201.06K 人気度
#
OilPricesRise
330.03K 人気度
人気の Gate Fun
もっと見る
Gate Fun
KOL
最新
ファイナライズ中
リスト済み
1
RUB
RUBUSDT
時価総額:
$2.25K
保有者数:
0
0.00%
2
MTDJ
樱花上的蘑菇云
時価総額:
$0.1
保有者数:
1
0.00%
3
LAZY
LazyCat
時価総額:
$2.25K
保有者数:
1
0.00%
4
FC
free
時価総額:
$2.24K
保有者数:
1
0.00%
5
HRM
HORMUZ
時価総額:
$2.24K
保有者数:
1
0.00%
ピン
サイトマップ
#DriftProtocolHacked DriftProtocolHacked: 北朝鮮関連DeFi強盗の完全内訳
短い概要:2026年4月1日、はい、本当の攻撃です(冗談ではありません)、Solana最大の永続取引所Drift Protocolは約#DriftProtocolHacked 百万$285M を失い、DeFi史上最も高度なソーシャルエンジニアリング攻撃と呼ばれるものに巻き込まれました。攻撃者は6ヶ月間信頼を築き、チームと直接会い、自分たちの資金を数百万ドル投入し、最終的に署名者マシンを侵害してわずか12分でプロトコルを流出させました。
---
1. タイムライン:どのように展開したか
攻撃実行 (2026年4月1日)
· 総盗難額:約$285 百万$1 、複数プールから:JLP ~$155.6M(、USDC、SOL、cbBTC、wBTC、WETH、ミームコイン
· 方法:攻撃者は事前署名された「耐久ノンス」取引を起動し、偽のCVTトークンを有効な担保としてリストアップ、引き出し制限を最大に引き上げ、すべてを流出させた
· 速度:31件の引き出し取引が約12分で完了
· 即時換金:盗まれた資産を約129,000 ETH(約2億19283746565748392億ドル)にスワップし、Jupiterを経由してEthereumにブリッジ
即時対応
· 入金/出金は即座に凍結
· Drift確認:「これはエイプリルフールの冗談ではありません」
· すべてのプロトコル機能停止、侵害されたウォレットはマルチシグから除外
---
2. 6ヶ月間の潜入:体系的情報操作
これはコードのバグや偶発的なハッキングではありません。完全なスパイ活動でした。
フェーズ1:最初の接触 )2025年秋$285
クォンティタティブトレーディング会社を名乗る個人が主要な暗号会議でDriftの関係者に接近。技術的に洗練され、信頼性があり、すぐにTelegramグループを設立。
フェーズ2:信頼構築 (2025年12月 - 2026年1月)
· Driftに正規のエコシステム・ボールトをオンボーディング
· 信頼性を高めるために自分たちの資金を約(百万ドル投入
· 取引戦略や統合について複数の作業セッションを実施
· 複数国の会議で直接Drift関係者と面会
フェーズ3:技術的侵害 )2026年2月 - 3月(
2つの攻撃ベクトルが特定:
ベクトル 方法
悪意のあるリポジトリ 攻撃者はVaultフロントエンド展開を装いコードリポジトリを共有。2025年12月から2026年2月の既知のVSCode/カーソルの脆弱性により、フォルダを開くだけで静かに任意コード実行が可能に
TestFlightアプリ 攻撃者はAppleのTestFlightを通じてベータ版「ウォレットアプリ」のインストールを説得
マシンが侵害されると、攻撃者はトランザクションの誤表記を通じてマルチシグ承認を取得。
フェーズ4:罠の設置 )2026年3月27日(
Driftはセキュリティ評議会を0秒タイムロックの2-of-5マルチシグに移行—管理操作は即時実行可能に。事前署名済みの取引はすでに待機状態。
フェーズ5:実行 )2026年4月1日$1
· 攻撃者は待機中の取引を起動
· 攻撃が開始されるとTelegramチャットとマルウェアは完全に削除
· 12分で資金を流出
---
3. 責任所在:北朝鮮のUNC4736 (ラザルス・サブグループ)
中程度から高い信頼度で、DriftとSEAL 911チームはこれをUNC4736(別名AppleJeus、Citrine Sleet、Gleaming Pisces)に帰属させている—2024年10月のRadiant Capitalハッキングと同じグループ。
北朝鮮関連の証拠:
· オンチェーンの重複:資金流れはRadiant Capital攻撃者に遡る
· 運用パターン:2022年のRoninブリッジハック(6億1.56億ドル)と同じターゲット志向のアプローチ
· Tornado Cash起源:3月11日にTornado CashからETH引き出しで攻撃開始
· 平壌タイムスタンプ:CVT展開のタイムスタンプは約09:00の平壌時間と一致
· 洗浄速度:即時のクロスチェーン変換とCEXによる凍結なし
重要な注意点:対面の関係者は北朝鮮国籍ではない
「会議に実際に出席した人物は北朝鮮国籍ではありません。北朝鮮の脅威者は、関係構築のために第三者の仲介者を使うことが知られています。」
これらの仲介者は、雇用履歴や公開資格情報、職業ネットワークなどを完全に構築し、相手側のデューデリジェンスに耐えうる身分を持っていました。
---
4. 技術的内訳:どのようにして攻撃が行われたか
「耐久ノンス」攻撃
Solanaには「耐久ノンス」と呼ばれる正当な機能があり、取引を事前に署名し後から実行できる。この仕組みを利用して、攻撃者は:
1. マルチシグ署名者にルーチン取引の承認を得る
2. その承認は予備の認証キーとなる
3. 3月27日にタイムロックが解除されると、事前署名された取引が即座に有効化
偽の担保スキーム
1. 3月11日:攻撃者はTornado CashからETHを引き出し
2. 3月12日:CVT(carbonvote)トークンを展開
3. 3週間:Raydiumに最小流動性を供給し、ウォッシュトレーディングで約1ドルの価格を維持
4. 4月1日:DriftのオラクルはCVTを正当な担保と認識→攻撃者は価値のないCVTを預け、プロトコルはそれに対して実資産を発行
---
5. 影響:誰が被害を受けたか
直接損失:約(百万)
資産額 価値(USD)
JLPトークン 約41.7M ~$155.6M
USDC さまざま ~$80-100M
SOL さまざま 重要
cbBTC/wBTC/WETH さまざま 残り
影響を受けたプロトコル (感染)
· Prime Numbers Fi:数百万ドル損失
· Carrot Protocol:TVLの50%に影響後、ミント/リデンプション機能停止
· Pyra Protocol:完全に引き出し停止
· Piggybank:4170万6千ドルを失い、財務から返済済み
Jupiterの対応
「Jupiter LendはDriftのマーケットには関与していません。JLP資産は基礎資産で完全に裏付けられています。これはSolana DeFiにとって厳しい日です。」
影響を受けていないトークン
· Unitas Protocol
· Meteora
· Perena(ただしNeutral Trade管理のJLPボールトは影響を受けた)
---
6. ステーブルコイン論争:Circle対Tether
大きな二次的話題:なぜCircleは盗まれたUSDCを凍結しなかったのか?
数字の詳細
· (百万ドルのUSDCがCircleのクロスチェーン転送プロトコル(CCTP)を通じてSolanaからEthereumへブリッジされた
· これが6時間以上にわたり、介入なしで行われた
対比
プロトコルの対応
USDT0 )Tether(:90分以内にSolanaのクロスチェーン通信を停止
Circle CCTP:介入記録なし、パーミッションレスで運用
批判点
オンチェーンアナリストのZachXBTはCircleの対応の遅れを公に批判。業界の観測者は、これが根本的な設計のトレードオフを露呈していると指摘:緊急時の中央集権的コントロール()USDT0()と、パーミッションレスな分散化()CCTP()の選択。
参考までに、Curve Financeの創設者Michael Egorovは次のように述べている:「北朝鮮のハッカーが関与している場合、回復の可能性はゼロです。彼らは協力せず、法執行も恐れません。」
---
7. Driftの対応と回復努力
即時措置 )4月1日-3日$50M
· すべてのプロトコル機能停止
· 侵害されたウォレットをマルチシグから除外
· 攻撃者のアドレスを取引所やブリッジ運営にフラグ付け
· ハッカーウォレットに「話す準備ができている」とのオンチェーンメッセージ送信
交渉試行 (4月3日)
Driftは盗難資金を保有する4つのEthereumウォレットに対し、次のメッセージを送信:
「関係者の重要情報が特定されました。コミュニティに対し、第三者の帰属が完了次第、さらなるアップデートを共有します。」
唯一の反応?ランダムなウォレット(ETH保有)から:「(百万送ってくれ、Driftチームをからかいたい」。
フォレンジック調査
· Mandiantに調査を依頼
· SEAL 911チーム(Taylor Monahan、tanuki42_、pcaversaccio、Nick Bax)にクレジット
· 完全なデバイスフォレンジック完了後に正式な帰属
tanuki42_のコメント
「これは私が見た中で最も精巧でターゲットを絞った攻撃だと思います。北朝鮮の関与とみられる複数の仲介者を募集し、実際の暗号イベントで特定の人物を標的にするのは異例の戦術です。」
---
8. DeFiにとってこれがすべてを変える理由
厳しい現実
「攻撃者が6ヶ月間費やし、)百万ドルを投資し、直接会い、実資金を預け、忍耐強く待つことができるなら、どのセキュリティモデルがそれを検知できるのか?」
学んだ教訓
1. タイムロックは必須。Driftが3月27日に解除したように、これを外すと複雑な攻撃も12分の現金引き出しに変わる
2. ソーシャルエンジニアリングはコードの脆弱性よりも危険。最も洗練されたコード監査も、人間が悪意のあるVSCodeフォルダを開いたりTestFlightアプリをインストールしたりするのを止められない
3. パーミッション制と非パーミッション制のセキュリティの違い。USDT0とCCTPの対比は、ステーブルコイン設計の根本的なトレードオフを示す
4. 北朝鮮は今後も存在し続ける。Ellipticは2026年第1四半期だけで$285 盗難資金を追跡し、北朝鮮関連の関係者が過去数年で65億ドル超を不正流用していると報告
今後のDriftの展望
· 資金が回収されるか、主要な支援策が出てこない限り、清算、破産、訴訟の道へ進む可能性大
· 4月3-5日時点で包括的な補償計画は未発表
· DPRK関与の場合の回復確率:0%(Michael Egorovの見解)
---
9. 主要ウォレットとオンチェーンデータ
攻撃者ETHウォレット (Post-bridge)
· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674
所持合計:約105,969 ETH(約19283746565748392億1.56億ドル)(
Driftのオンチェーンメッセージ送信者:
· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105
---
最終的な結論
これはハッキングではありません。国家レベルの敵対的情報操作であり、DeFiプロトコルに対する6ヶ月間の敵対的スパイ活動でした。攻撃者は:
· 偽の完璧な身分を持つ第三者仲介者を利用
· 複数国の会議でターゲットと直接会う
· 実資金100万ドル以上をカバーとして預ける
· 信頼された開発者ツール()VSCode(やAppleのTestFlight)を悪用
· 完璧なタイミングで12分間の資金流出を実行
DeFiが生き残るには、業界はもはやスマートコントラクトのバグだけでなく、ソーシャルエンジニアリングと国家レベルの関与者が脅威モデルであることを受け入れる必要がある。
「調査によると、使用されたプロフィールは雇用履歴や公開資格情報、職業ネットワークを含む完全に構築された身分であり、ビジネス関係の中での審査に耐えうるものでした。」 — Drift Protocol