ソーシャルエンジニアリングによる攻撃の可能性
ソラナ(Solana)上でデリバティブ取引などを提供する分散型取引所(DEX)「ドリフト(Drift Protocol)」が日本時間4月2日に発生したインシデントについて、その背景と攻撃手法に関する調査状況を4月5日に公表した。
同発表によると、今回の犯罪者グループによる攻撃は6ヶ月にわたり意図的に準備された組織的な作戦であった可能性があるという。ドリフトは現在、法執行機関やフォレンジックパートナーと連携し、調査を進めている。
発表では、2025年秋ごろ定量トレーディング企業を名乗ったグループ(以下、該当グループ)が、複数の主要な暗号資産関連カンファレンスでドリフトのコントリビューターに接触していたと説明されている。この該当グループは、技術的知識や職歴を備えドリフトの運用にも精通していたとされる。
その後、ドリフトチームと該当グループでコミュニケーションを取るためにテレグラム(Telegram)グループが作成され、そこでトレーディング戦略やボールト統合に関する議論が数ヶ月にわたり行われたとのこと。この議論を経て該当グループは、2025年12月から2026年1月にかけては、実際にエコシステム・ボールトを導入したという。また、該当グループは、そこに100万ドル(約1.6億円)超の資金を預け入れるなど、ドリフト上で実際に運用を行っていたとされる。
また、2026年2月から3月にかけてもコミュニケーションは継続され、ドリフトの複数のコントリビューターが該当グループの人物と対面で再度会っていたという。このようにドリフトと該当グループの関係構築は約半年にわたって行われており、ドリフトはこれらのやり取りが今回の攻撃の準備であった可能性が高いとみている。
攻撃の具体的な手法については、詳細な発表はなかったが複数の経路が指摘されている。ひとつは、該当グループが共有したコードリポジトリをクローンしたことによる侵害の可能性、もうひとつはウォレット製品を装ったテストアプリのダウンロードを通じた侵害の可能性だ。また、2025年12月から2026年2月にかけて指摘されていたVSコード(VSCode)およびカーソル(Cursor)の脆弱性が関係した可能性にも言及されている。
なお、4月2日のエクスプロイト発生時には、この該当グループとのテレグラムでのやり取りや関連するソフトウェアは削除されていたという。
攻撃主体についてドリフトは、セキュリティチーム「シールス911(SEALS 911)」の調査をもとに、今回の攻撃が2024年10月に発生したラディアント・キャピタル(Radiant Capital)へのハックと同一の脅威アクターによる可能性があると高い確信で評価しているとした。ラディアント・キャピタルの事案については、米サイバーセキュリティ企業マンディアント(Mandiant)が、北朝鮮と関係を持つとされるグループ「UNC4736」によるものと指摘している。このため、今回の攻撃についても同グループによる可能性があるとの見方が示されている。
ただし、マンディアントは今回のドリフトのインシデントについて、現時点で正式な帰属認定は行っていない。攻撃を受けた端末の調査が完了しておらず、どのように侵入されたかなどの詳細な証拠がまだ十分に確認できていないためとしている。
同インシデントを巡っては、4月2日にドリフトが攻撃を受けたことを公表し、入出金の一時停止などの対応を行っていた。被害の全容や原因については、引き続き調査が進められている。
資金移動の追跡とデュラブルナンス悪用の指摘
今回のインシデントで不正に取得された資金の移動については、オンチェーン分析企業などにより継続的に追跡されている。
ルックオンチェーン(Lookonchain)は4月2日、ドリフトのボールトから2億7,000万ドル(約428.5億円)以上の資産が、不審なウォレットに送金された可能性があると報告した。その後の分析では、攻撃者は取得した資産の多くを米ドル連動型ステーブルコイン「USDC」に交換したうえで、イーサリアム(Ethereum)へブリッジし、「ETH」の購入を進めているとされる。同アカウントによると、攻撃者は一時点で19,913ETH(約4,260万ドル)を取得していたほか、その後の更新では合計38,820ETH(約8,266万ドル)を保有していると報告されている。
また、ソラナ(Solana)上の資産については、一部が外部プロトコルや取引所へ送金され、売却のうえETHへ転換されている動きも確認されたという。送金先には、ハイパーリキッド(Hyperliquid)やバイナンス(Binance)などが含まれるとされる。
また、一連の資金移動について、暗号資産分野のアナリストであるジャッシー(jussy)氏は、攻撃者が事前にウォレットを準備していた可能性や、攻撃後も数時間にわたり資産の交換やブリッジを継続していた点を指摘している。また同氏は、今回の資金移動について、短時間での換金を急ぐ様子は見られず、計画的に実行された可能性があるとの見方を示している。
加えて、今回の攻撃手法については、ソラナのトランザクション仕様を利用した可能性を指摘する分析もある。
暗号資産分野の研究者であるステイシー・ムーア(Stacy Muur)氏は、今回の事案について、コード上の脆弱性を突いた攻撃ではなく、ソーシャルエンジニアリングと「デュラブルナンス(durable nonce)」と呼ばれる仕組みを組み合わせた可能性を指摘している。
同氏によると、デュラブルナンスは、署名済みのトランザクションを一定期間保持できる仕組みであり、攻撃者はこれを利用して事前に署名を収集し後から一括で実行した可能性があるという。通常のソラナのトランザクションは短時間で失効するが、この仕組みにより、数日にわたり署名を蓄積できた可能性があるとされる。
ただし、これらは第三者による分析であり、実際の攻撃手法についてはドリフトによる公式な説明は現時点で示されていない。なお、これらの資金移動や被害額の詳細については、今後の公式発表により内容が更新される可能性がある。
The Drift Protocol exploiter is swapping the $270M+ stolen assets into $USDC, then bridging to #Ethereum to buy $ETH. 🚨
— Lookonchain (@lookonchain) April 1, 2026
So far, they have bought 19,913 $ETH ($42.6M).https://t.co/I0kfOvxqRphttps://t.co/C5nLmNfYsM pic.twitter.com/WesXqfQnsn
Everything about @DriftProtocol Exploit
— jussy (@jussy_world) April 1, 2026
And 8 other protocols that got effected (TL;DR) 🧵👇
$270M drained
That’s 50% of their entire TVL gone
The attacker didn’t panic
Looking like they had pre-funded wallets ready a week before
Hacker wallet:… https://t.co/XsM6IKdG0J pic.twitter.com/FI2g3W0xRk
The Drift hack wasn’t a code exploit.
— Stacy Muur (@stacy_muur) April 3, 2026
It was social engineering using Solana’s durable nonces.
Quick explainer on durable nonces ↓
Normally, Solana transactions include a recent blockhash that expires in ~90 seconds. Miss the window and the signed transaction dies.
Durable… pic.twitter.com/pYuEwgHFCu
参考:ドリフト
画像:iStocks/M-A-U