Solana(ソラナ)ブロックチェーンを基盤とする分散型取引所(DEX)のDrift Protocol(ドリフト・プロトコル)は、2026年4月1日に発生した約2億8,500万ドルの不正流出に関する詳細な調査報告を公開しました。この事案は、北朝鮮の国家支援を受ける攻撃者による、半年間にわたる緻密な潜入工作の結果であるとされています。技術的な脆弱性よりも、人的な信頼関係を悪用する高度なソーシャルエンジニアリング(相手を欺いて情報を聞き出したり権限を得たりする手法)が主因となった点が、Web3業界に大きな衝撃を与えています。
6カ月に及ぶ信頼構築と対面での接触
Drift Protocolの報告によると、今回の攻撃は単なるオンライン上の詐欺ではなく、6カ月という長期間をかけた諜報活動の一環でした。攻撃者は対面での面会を含む人的な接触を通じてチームの信頼を勝ち取り、組織内部に深く食い込んでいたとされています。このプロセスは「握手から始まった」と表現されており、一般的なフィッシングや偽のリクルート活動をはるかに超える、国家レベルの工作活動であったことが示唆されています。
技術的悪用と偽資産によるオラクルの操作
攻撃の実行段階では、複数の高度な手法が組み合わされました。まず、攻撃者は「CarbonVote Token(CVT)」という実体のない偽の資産を作成し、ウォッシュトレード(自作自演の取引)によって流動性を偽装しました。これにより、プロトコルの価格参照システムであるオラクルに、この資産を数億ドルの価値がある正当な担保として認識させることに成功したと見られています。
さらに、マルチシグ(複数の署名を必要とする管理仕組み)の署名者を欺いて、隠された権限付与に事前署名させるソーシャルエンジニアリングも行われました。この際、Solanaの「durable nonce(有効期限のない署名を作成できる仕組み)」が悪用され、攻撃者が任意のタイミングで迅速にトランザクションを実行できる状態が作り出されていたと報告されています。
セキュリティ評議会の権限奪取と迅速な資金流出
一連の工作により、攻撃者はDrift Protocolの「Security Council(セキュリティ評議会)」の管理権限を事実上掌握しました。その後、タイムロック(変更実行までの待機時間)のない移行処理を悪用してプロトコルの最終防衛線を無効化し、わずか数分間のうちに約2億8,500万ドルのユーザー資産を流出させました。流出した資金の多くは、その後数時間以内にEthereum(イーサリアム)ネットワークへブリッジ(異なるブロックチェーン間での資産移動)され、難読化が図られたとされています。
ポイント
- 2026年4月1日に発生した約2億8,500万ドルの不正流出は、2026年で最大規模、Solana史上でも2番目の規模のDeFiハッキング事案となりました。
- 北朝鮮の国家支援を受けた攻撃者が、半年間にわたり対面での接触を含む潜入工作を行っていたことが判明しています。
- スマートコントラクトのバグではなく、人的な信頼を悪用して管理権限を奪取する高度なソーシャルエンジニアリングが主因である点が注目されます。
- 偽資産を用いたオラクルの操作や、durable nonceによる事前署名の悪用など、複合的な技術的悪用が組み合わされました。
- Web3プロジェクトにとって、プログラムの安全性だけでなく、組織運営における人的なセキュリティ対策が極めて重要であることを示しています。