Solana(ソラナ)ブロックチェーン最大級の分散型無期限先物取引所(DEX)であるDrift Protocolにて、約2億8,500万ドル(約430億円)相当の暗号資産が流出する事件が発生しました。ブロックチェーン分析企業のEllipticやTRM Labsの最新レポートによると、この攻撃の背後には北朝鮮(朝鮮民主主義人民共和国)に関連するハッカー集団が関与している可能性が高いとされています。この事案は、2026年に発生したDeFi(分散型金融)ハッキング事件の中で最大規模であり、業界のセキュリティ管理に大きな警鐘を鳴らしています。
巧妙に計画された攻撃の概要と被害状況
今回の攻撃は2026年4月1日に実行されました。Drift Protocolの運営チームは異常な活動を検知した後、直ちに預け入れと引き出しの機能を停止し、複数のセキュリティ企業や法執行機関と連携して対応にあたっています。
分析によると、攻撃者はプラットフォーム内の特定の金庫(Vault)を標的にしており、「JLP Delta Neutral」「SOL Super Staking」「BTC Super Staking」の3つの主要な金庫から資金が流出しました。特に4,170万JLPトークン(当時約1億5,500万ドル相当)の流出が最大の被害となっています。この事件により、Drift Protocolの預かり資産総額(TVL)は約5億5,000万ドルから2億5,000万ドル以下へと、50%以上減少しました。
北朝鮮の関与を示唆する技術的根拠
複数のブロックチェーン分析企業は、今回の攻撃手法が過去に北朝鮮の関与が指摘された事件と酷似していると報告しています。
Ellipticの報告では、オンチェーン上での資金移動の挙動、資金洗浄の手法、およびネットワークレベルの指標が、北朝鮮の国家支援型ハッカー集団の技術と一致していると指摘されました。具体的には、攻撃に使用されたウォレットは事件の約8日前に作成され、事前にDriftの金庫から少額のテスト送金を受けていたことが判明しており、綿密な計画性がうかがえます。
また、TRM Labsの調査では、攻撃の準備段階でTornado Cash(暗号資産のミキシングサービス)が使用されたことや、攻撃に関連する偽トークン「CarbonVote」のデプロイが平壌時間の午前9時30分に行われたことなどが、北朝鮮の関与を裏付けるシグナルとして挙げられています。これが事実であれば、2026年に入ってから北朝鮮に関連付けられた18件目の攻撃となり、同国による今年の暗号資産奪取額は3億ドルを超えることになります。
悪用された脆弱性とエコシステムへの広範な影響
今回のハッキングは、単一のバグを突いたものではなく、複数の高度な手法を組み合わせたものと見られています。
セキュリティ企業のPeckShieldなどの分析によれば、攻撃者はプロトコルの管理者用秘密鍵を侵害し、管理権限を掌握した可能性があります。また、Solanaの「durable nonce(デュラブル・ノンス:期限切れを防ぎながら事前に署名されたトランザクションを後で実行できる機能)」という仕組みを悪用し、数週間前から不正なトランザクションを準備していた形跡も見つかりました。さらに、流動性の低い偽トークンを用いてオラクル(価格参照システム)を操作し、不正に多額のクレジットを得て実資産を引き出したと見られています。
この影響はDrift Protocol単体にとどまらず、同プロトコルを基盤として利用していた20以上の周辺プロトコルや、レンディング、運用製品にも波及しています。Solanaエコシステムにおいては、2022年のWormholeブリッジへの攻撃(約3億2,600万ドル)に次ぐ、史上2番目の大規模な流出事件となりました。
ポイント
- Drift Protocolから約2億8,500万ドルが流出し、2026年で最大、Solana史上2番目の規模のハッキング事件となりました。
- EllipticやTRM Labsは、資金洗浄の手法や攻撃のタイミングが過去の北朝鮮に関連する手口と一致していると分析しています。
- 攻撃は数週間前から計画されており、管理者権限の侵害やオラクル操作、Solana独自の機能を組み合わせた極めて高度な手法が用いられました。
- 事件後、DriftのTVLは半分以下に急落し、同プロトコルに依存する20以上の関連プロジェクトにも影響が及んでいます。
- 奪取された資金は、SolanaからEthereum(イーサリアム)へとブリッジされ、ETHに交換されたことが確認されています。