Solana(ソラナ)ブロックチェーンを基盤とする分散型先物取引所(DEX)のDrift Protocolにおいて、約2億8500万ドル(約430億円相当)規模の不正流出が発生しました。2026年に入って最大規模の分散型金融(DeFi)ハッキング事件となる中、運営側が提示した再建策や、事件直後の不審な資金移動に対してコミュニティから厳しい批判が集まっています。本件は、Web3業界におけるガバナンスの脆弱性と透明性の重要性を改めて浮き彫りにしています。
巧妙な手法による2億8500万ドルの流出と市場への影響
今回の不正流出は、2026年4月1日に発生しました。調査結果によると、攻撃者は「durable nonces(デュラブル・ノンス)」と呼ばれるSolana独自の機能を悪用し、ソーシャルエンジニアリングを通じてプロトコルの管理権限(セキュリティ・カウンシル)を奪取したとされています。
さらに攻撃者は、流動性の極めて低い架空のトークン「CarbonVote Token(CVT)」を自作し、ウォッシュトレードによって価格を操作しました。Drift Protocolのオラクル(外部データを取得する仕組み)がこのトークンを正当な担保として認識したため、攻撃者はこれを担保にUSDCやSOL、wETHなど複数の資産を不正に引き出すことに成功しました。この一連の操作はわずか20分足らずで行われたと報告されています。
この影響により、Drift Protocolの預かり資産(TVL)は5億5000万ドルから半分以下に急落し、独自トークンであるDRIFTの価格も一時40%以上下落しました。また、同プロトコルと連携していた他の11のDeFiプラットフォームにも影響が及んでおり、業界全体に波及しています。
「IOUエアドロップ」による再建案と不審な資金移動への反発
被害の発覚後、Drift Protocolの運営チームは、損失を補填するための戦略として「IOU(借用証書)形式のエアドロップ」を含む再建案を提示しました。しかし、この計画は「極めて投機的である」として、コミュニティから強い反発を受けています。ユーザーからは、実効性のある救済措置よりも、将来的なトークン配布に依存する姿勢に疑問の声が上がっています。
さらに不信感を強めているのが、ハッキング発生後の不審なトークン移動です。オンチェーン分析プラットフォームのOnchain Lensは4月4日、Driftチームに関連付けられたウォレットが、5625万DRIFT(約244万ドル相当)を海外取引所のBybitやGate.ioへ送金したことを報告しました。
巨額の流出被害を受け、多くのユーザーが資産の安全性を懸念している最中に行われたこの資金移動は、運営側の透明性に対する疑念を増幅させています。チーム側は法執行機関やセキュリティ企業と連携して資金の追跡を行っているとしていますが、コミュニティの納得を得るには至っていません。
ポイント
- Solana基盤のDrift Protocolで約2億8500万ドルの不正流出が発生し、2026年で最大のDeFiハッキング事件となりました。
- 攻撃はソーシャルエンジニアリングとSolanaの技術的特徴(durable nonces)、およびオラクル操作を組み合わせた極めて巧妙な手法で行われました。
- 運営側が提示した「IOUエアドロップ」による救済策は、投機性が高いとしてユーザーから批判を浴びています。
- 4月4日にはチーム関連ウォレットから200万ドル以上のトークンが取引所へ移動されたことが判明し、運営の透明性が問われています。
- 本件は、分散型プロトコルにおける管理権限の集中リスクと、緊急時におけるガバナンスのあり方に大きな教訓を残しています。