暗号セキュリティインシデントにおける攻撃の重点が、コード層から人間の信頼層へ急激に移っている。
2026年4月1日、Solanaエコシステムの大手分散型デリバティブプロトコルであるDrift Protocolが攻撃を受け、約2.85億ドルの損失となった。プラットフォームの総ロック額(TVL)は、事件発生前の約5.5億ドルから約2.3億ドルへ急落した。Driftがその後発表した初期調査では、この一連の行動は朝鮮政府と関連するハッカー組織UNC4736が企画したものであり、「6か月にわたる構造化された情報活動」であることが確認された。
この結論が示す変化は、単なる1件のセキュリティインシデントにとどまらない。国家級ハッカーが攻撃の重点をコードの脆弱性の発見から、数か月に及ぶ人間関係を介した信頼の浸透へと移すとき、DeFi業界全体のセキュリティのパラダイムは体系的に書き換えられている。攻撃は、複雑なスマートコントラクトの脆弱性や秘密鍵の窃取をもはや必要としない。必要なのは、忍耐強い関係性、綿密に偽装されたアイデンティティ、そして十分な時間だけだ。
UNC4736の行動計画は、通常のハッカー集団を大きく上回る組織的規律とリソース投入を示している。2025年秋頃から、量的取引会社を装った人員が複数の国際暗号カンファレンスでDriftの貢献者に積極的に接触していた。これらの人員は技術に精通しており、検証可能な専門的経歴を持ち、Driftの運用方式にも通じていた。注目すべき点は、対面で接触した人物が朝鮮籍ではなく、朝鮮の脅威行為者によって展開された第三者の仲介者とみなされていたことである。
信頼が築かれた後、当該集団は2025年12月から2026年1月にかけてDriftエコシステム内にエコシステム・トレジャリーを設置し、さらに信用を確立するために自身の資金として100万ドル超を実際に拠出した。この過程で彼らは複数の貢献者と、詳細かつ専門的な製品に関する問題の議論を行っている。
技術的侵入は2つの経路で実現された。1人の貢献者が、悪意のあるコードリポジトリをクローンする際に侵害された。当該リポジトリは、VSCodeおよびCursorエディタにおいてセキュリティコミュニティが継続的に警告していた脆弱性を利用していた。エディタ上でファイル、フォルダ、またはリポジトリを開くだけで、ユーザーへの通知やクリックなしに任意コードがサイレントに実行される。もう1人の貢献者は、AppleのTestFlightプラットフォーム経由で偽のウォレットアプリをダウンロードさせられた。内部権限を得た攻撃者は、Solanaネイティブ機能であるDurable Nonceを用いて取引を事前に署名し、多重署名の承認が通った瞬間に、瞬時に全資金を空にする操作を実行した。
Drift事件が露呈させた代償は多面的であり、2.85億ドルの帳簿上の損失だけにとどまらない。
最も直接的な代償は、資金損失と市場への打撃に表れている。今回の攻撃は、2026年に入って以降最大規模のDeFiセキュリティインシデントであり、Solanaエコシステム史上で2番目に大きなセキュリティインシデントでもある。事件発生後、DRIFTトークンの価格は一時的に過去最高値から90%超下落した。
より警戒すべきは、攻撃の波及効果だ。Driftの脆弱性インシデントの影響を受けたプロトコルは、当初の11から20以上へ拡大した。新たに含まれたのはPiggyBank、Perena、Vectis、Prime Numbers Fiなどのプロトコルであり、一部のプロトコルでは鋳造、償還、または入出金機能が停止されている。分散型の貸借プロトコルであるProject 0は運営停止後、デレバレッジ(負債圧縮)のプロセスを開始し、貸し手の資産は平均で2.61%減額された。
そして最も深く、また定量化が最も難しい代償は、DeFi業界のセキュリティにおける信頼の土台が揺らいだことだ。Driftは事後に、すべての多重署名メンバーがコールドウォレットを使用していたと強調したが、それでも攻撃を阻止できなかった。これは、攻撃が人間のレイヤーをロックオンする場合、厳格なハードウェア管理であっても迂回され得ることを示している。攻撃者が、実在する組織の姿で半年間行動し、資金を投入し、エコシステムに参加しているなら、既存のセキュリティシステムが彼らを検知することはほぼ不可能だ。
Drift事件は、業界全体に対して根本的な問題を改めて突きつけている。分散型金融の安全性に関する前提は、今なお成立しているのか、という問いだ。
業界の重要な再検討は、第三者の仲介者に対する信頼体系の構造的な脆弱性に焦点を当てている。UNC4736の攻撃経路は、現在のDeFiエコシステムには、新たな協業相手に対する体系的なセキュリティ審査と継続的な監視のメカニズムが欠けていることを明らかにした。業界内で通常の商業活動と見なされている行為――カンファレンスでの接触、チャットでの即時的なコミュニケーション、エコシステム・トレジャリーへの入居――そのものが、国家級ハッカーによる侵入の最良の隠れ蓑になっているのだ。
見過ごせない別の論点は、資金回収の段階におけるコンプライアンス上の亀裂だ。オンチェーン調査員は、攻撃者がクロスチェーン振替プロトコルを通じて約2.32億ドルのUSDCをSolanaブリッジからイーサリアムへ送金したと指摘している。安定通貨発行業者にはこの資金を凍結できる約6時間の猶予枠があったにもかかわらず、何ら対応が取られていない。この論争はさらに深い制度上の問題に触れている。DeFiプロトコル自体の防御が機能しなくなったとき、中央集権的な安定通貨発行業者のコンプライアンス対応に頼って穴埋めする、このような混合モデルは持続可能なのか。また、コンプライアンス主体が大規模な資金の流れに直面した場合、行動の境界はどこにあるのか?
現時点の調査の進展と業界の反応から見て、今後のいくつかのトレンドはすでに見えてきている。
セキュリティ予算は体系的に再評価される。2025年の世界の暗号セキュリティ損失はすでに34億ドルを超えており、Web3分野では2025年に89件の確認されたセキュリティインシデントが記録され、総損失は25.4億ドルに達した。国家級攻撃がますます常態化する背景では、コード監査やセキュリティテストへの単なる依存による防御戦略では不十分になると見込まれる。今後、より多くのプロトコルが、運用におけるセキュリティ研修、ソーシャルエンジニアリング対策の演習、背景審査プロセスへの追加リソース投入を行う可能性が高い。
プロトコルをまたぐリスクの波及が、新たな安全上の注目点になる。Drift事件が20以上のプロトコルに連鎖的に影響したことは、DeFiの組み合わせ可能性がセキュリティ面では諸刃の剣であることを示している。将来想定される対処策は2種類に大別される可能性がある。1つ目は、プロトコル層における依存の隔離とセキュリティのランク付け。2つ目は、業界層で統一されたインシデント対応と情報共有の仕組みを構築することだ。
規制とコンプライアンスの境界は、さらにせめぎ合いが続く。安定通貨発行業者が類似インシデントで取るべき行動基準が、規制の議論の焦点となり、国境をまたぐ暗号資産の移動に対する緊急対応の枠組みが生まれる可能性がある。
Driftはすべてのプロトコル機能を凍結し、損害を受けたウォレットを多重署名から移したものの、それでもなお継続的に注視すべき複数のリスク次元がある。
資金回収の不可逆性。攻撃者は盗みを実行した後、即時メッセージの記録とマルウェアを素早く消去し、またオンチェーン上の資金はクロスチェーン・ブリッジを通じてイーサリアムネットワークへ送られている。朝鮮のハッカー組織は、従来から成熟したマネーロンダリングネットワークとクロスチェーン混在(ミキシング)能力を備えており、盗まれた資金の大部分は回収が困難な経路に入っている可能性が高い。
業界のセキュリティ能力における非対称な競争。国家級ハッカー組織は、組織的なリソース、継続的な資金支援、専門化された分業を持っている。一方で、ほとんどのDeFiプロトコルは小規模チームとして運用されており、セキュリティリソースの配分は限られている。この非対称性は攻撃者によって体系的に利用されつつある。これらの攻撃者が用いるアイデンティティは、完全な職歴、公開された身元証明書、プロフェッショナルなソーシャルネットワークを構築しており、ビジネス協業における通常の審査に耐えられるようになっている。
信頼疲れが業界のイノベーションを抑制する。新たな協業相手の導入のたびに、厳格なセキュリティ審査と継続的な監視が必要になるなら、DeFiの中核的な利点――開放性と組み合わせ可能性――が損なわれるリスクにさらされる。安全防御と運用効率の間でどのようにバランスを取るかは、業界が必ず答えなければならない難題だ。
Driftのハッキング事件は、長い間見過ごされてきた現実を浮き彫りにした。DeFi業界のセキュリティ脅威は、すでに世代をまたぐ飛躍を完了している。スマートコントラクトの脆弱性から秘密鍵の窃取、そして現在では6か月に及ぶ国家級のソーシャルエンジニアリングによる侵入まで、攻撃者の戦術進化の速度は、防御体系の更新速度をはるかに上回っている。攻撃者がコードを突破する必要がなくなり、人ひとりの信頼を突破するだけでよくなったとき、多重署名、コールドウォレット、ハードウェア分離といった従来型のセキュリティツールの有効性が改めて問われることになる。
業界が必要としているのは、より完成度の高いコード監査やより厳格なアクセス制御だけではない。まったく新しいセキュリティの発想――「人為的な信頼」を「スマートコントラクトのコード」と同等の重要な攻撃面として捉えること――がより必要だ。背景審査から運用上のセキュリティ文化へ、生態系の協業パートナーの継続的な監視からインシデント対応のプロトコル横断的な協調メカニズムまで、あらゆる局面を再定義する必要がある。国家級勢力が参入する暗号セキュリティの新常態のもとでは、どのプロトコルも一人で安全を保つことはできない――業界全体の防御チェーンは、最も脆弱な一環の強度にしか到達できない。
問:UNC4736はLazarusと同じ組織なのか?
UNC4736は、セキュリティ企業が朝鮮政府と関連する脅威行為者を追跡するために用いるコードネームであり、より広く知られたLazarus Groupとは重複する部分はあるものの、完全に同一ではない。UNC4736は、暗号資産領域において、より継続的なベースライン収益獲得の任務を遂行していると考えられており、小規模から中規模の標的への継続的な浸透に注力している。
問:Driftはなぜ多重署名を使っているのに、攻撃を阻止できなかったのか?
攻撃者は多重署名の秘密鍵を直接窃取したのではなく、ソーシャルエンジニアリングによって多重署名の承認権限を取得した後、SolanaのDurable Nonce機能を利用して取引を事前に署名し、十分な権限を得た時点で瞬時に実行した。これは、多重署名メカニズムのセキュリティ上の前提が「署名者がソーシャルエンジニアリング手段に操られていないこと」にあることを示している。
問:今回の攻撃はスマートコントラクトの脆弱性を伴っていたのか?
関係ない。Drift公式は、今回の攻撃の核心はソーシャルエンジニアリングによる侵入とDurable Nonce機能の悪用であり、従来型のスマートコントラクトコードの脆弱性ではないと確認している。
問:事件後、Driftはどのような措置を取ったのか?
Driftはすべてのプロトコル機能を凍結し、損害を受けたウォレットを多重署名から移し、セキュリティ企業に深いフォレンジック調査への参加を依頼した。プロトコルトームは、法執行機関と協力して盗まれた資金の追跡を試みていると述べている。
838.25K 人気度
199.63K 人気度
26.07K 人気度
247.3K 人気度
494.15K 人気度
国家レベルのハッカーはどのようにDeFiを攻撃するのか?Driftのハッキング事件の詳細調査
暗号セキュリティインシデントにおける攻撃の重点が、コード層から人間の信頼層へ急激に移っている。
2026年4月1日、Solanaエコシステムの大手分散型デリバティブプロトコルであるDrift Protocolが攻撃を受け、約2.85億ドルの損失となった。プラットフォームの総ロック額(TVL)は、事件発生前の約5.5億ドルから約2.3億ドルへ急落した。Driftがその後発表した初期調査では、この一連の行動は朝鮮政府と関連するハッカー組織UNC4736が企画したものであり、「6か月にわたる構造化された情報活動」であることが確認された。
この結論が示す変化は、単なる1件のセキュリティインシデントにとどまらない。国家級ハッカーが攻撃の重点をコードの脆弱性の発見から、数か月に及ぶ人間関係を介した信頼の浸透へと移すとき、DeFi業界全体のセキュリティのパラダイムは体系的に書き換えられている。攻撃は、複雑なスマートコントラクトの脆弱性や秘密鍵の窃取をもはや必要としない。必要なのは、忍耐強い関係性、綿密に偽装されたアイデンティティ、そして十分な時間だけだ。
攻撃の仕組みは何か?
UNC4736の行動計画は、通常のハッカー集団を大きく上回る組織的規律とリソース投入を示している。2025年秋頃から、量的取引会社を装った人員が複数の国際暗号カンファレンスでDriftの貢献者に積極的に接触していた。これらの人員は技術に精通しており、検証可能な専門的経歴を持ち、Driftの運用方式にも通じていた。注目すべき点は、対面で接触した人物が朝鮮籍ではなく、朝鮮の脅威行為者によって展開された第三者の仲介者とみなされていたことである。
信頼が築かれた後、当該集団は2025年12月から2026年1月にかけてDriftエコシステム内にエコシステム・トレジャリーを設置し、さらに信用を確立するために自身の資金として100万ドル超を実際に拠出した。この過程で彼らは複数の貢献者と、詳細かつ専門的な製品に関する問題の議論を行っている。
技術的侵入は2つの経路で実現された。1人の貢献者が、悪意のあるコードリポジトリをクローンする際に侵害された。当該リポジトリは、VSCodeおよびCursorエディタにおいてセキュリティコミュニティが継続的に警告していた脆弱性を利用していた。エディタ上でファイル、フォルダ、またはリポジトリを開くだけで、ユーザーへの通知やクリックなしに任意コードがサイレントに実行される。もう1人の貢献者は、AppleのTestFlightプラットフォーム経由で偽のウォレットアプリをダウンロードさせられた。内部権限を得た攻撃者は、Solanaネイティブ機能であるDurable Nonceを用いて取引を事前に署名し、多重署名の承認が通った瞬間に、瞬時に全資金を空にする操作を実行した。
この攻撃パラダイムはどんな代償をもたらしたのか?
Drift事件が露呈させた代償は多面的であり、2.85億ドルの帳簿上の損失だけにとどまらない。
最も直接的な代償は、資金損失と市場への打撃に表れている。今回の攻撃は、2026年に入って以降最大規模のDeFiセキュリティインシデントであり、Solanaエコシステム史上で2番目に大きなセキュリティインシデントでもある。事件発生後、DRIFTトークンの価格は一時的に過去最高値から90%超下落した。
より警戒すべきは、攻撃の波及効果だ。Driftの脆弱性インシデントの影響を受けたプロトコルは、当初の11から20以上へ拡大した。新たに含まれたのはPiggyBank、Perena、Vectis、Prime Numbers Fiなどのプロトコルであり、一部のプロトコルでは鋳造、償還、または入出金機能が停止されている。分散型の貸借プロトコルであるProject 0は運営停止後、デレバレッジ(負債圧縮)のプロセスを開始し、貸し手の資産は平均で2.61%減額された。
そして最も深く、また定量化が最も難しい代償は、DeFi業界のセキュリティにおける信頼の土台が揺らいだことだ。Driftは事後に、すべての多重署名メンバーがコールドウォレットを使用していたと強調したが、それでも攻撃を阻止できなかった。これは、攻撃が人間のレイヤーをロックオンする場合、厳格なハードウェア管理であっても迂回され得ることを示している。攻撃者が、実在する組織の姿で半年間行動し、資金を投入し、エコシステムに参加しているなら、既存のセキュリティシステムが彼らを検知することはほぼ不可能だ。
DeFi業界の構図にとって、これは何を意味するのか?
Drift事件は、業界全体に対して根本的な問題を改めて突きつけている。分散型金融の安全性に関する前提は、今なお成立しているのか、という問いだ。
業界の重要な再検討は、第三者の仲介者に対する信頼体系の構造的な脆弱性に焦点を当てている。UNC4736の攻撃経路は、現在のDeFiエコシステムには、新たな協業相手に対する体系的なセキュリティ審査と継続的な監視のメカニズムが欠けていることを明らかにした。業界内で通常の商業活動と見なされている行為――カンファレンスでの接触、チャットでの即時的なコミュニケーション、エコシステム・トレジャリーへの入居――そのものが、国家級ハッカーによる侵入の最良の隠れ蓑になっているのだ。
見過ごせない別の論点は、資金回収の段階におけるコンプライアンス上の亀裂だ。オンチェーン調査員は、攻撃者がクロスチェーン振替プロトコルを通じて約2.32億ドルのUSDCをSolanaブリッジからイーサリアムへ送金したと指摘している。安定通貨発行業者にはこの資金を凍結できる約6時間の猶予枠があったにもかかわらず、何ら対応が取られていない。この論争はさらに深い制度上の問題に触れている。DeFiプロトコル自体の防御が機能しなくなったとき、中央集権的な安定通貨発行業者のコンプライアンス対応に頼って穴埋めする、このような混合モデルは持続可能なのか。また、コンプライアンス主体が大規模な資金の流れに直面した場合、行動の境界はどこにあるのか?
将来はどのように進化し得るのか?
現時点の調査の進展と業界の反応から見て、今後のいくつかのトレンドはすでに見えてきている。
セキュリティ予算は体系的に再評価される。2025年の世界の暗号セキュリティ損失はすでに34億ドルを超えており、Web3分野では2025年に89件の確認されたセキュリティインシデントが記録され、総損失は25.4億ドルに達した。国家級攻撃がますます常態化する背景では、コード監査やセキュリティテストへの単なる依存による防御戦略では不十分になると見込まれる。今後、より多くのプロトコルが、運用におけるセキュリティ研修、ソーシャルエンジニアリング対策の演習、背景審査プロセスへの追加リソース投入を行う可能性が高い。
プロトコルをまたぐリスクの波及が、新たな安全上の注目点になる。Drift事件が20以上のプロトコルに連鎖的に影響したことは、DeFiの組み合わせ可能性がセキュリティ面では諸刃の剣であることを示している。将来想定される対処策は2種類に大別される可能性がある。1つ目は、プロトコル層における依存の隔離とセキュリティのランク付け。2つ目は、業界層で統一されたインシデント対応と情報共有の仕組みを構築することだ。
規制とコンプライアンスの境界は、さらにせめぎ合いが続く。安定通貨発行業者が類似インシデントで取るべき行動基準が、規制の議論の焦点となり、国境をまたぐ暗号資産の移動に対する緊急対応の枠組みが生まれる可能性がある。
どんな潜在リスクが、依然として警戒範囲にあるのか?
Driftはすべてのプロトコル機能を凍結し、損害を受けたウォレットを多重署名から移したものの、それでもなお継続的に注視すべき複数のリスク次元がある。
資金回収の不可逆性。攻撃者は盗みを実行した後、即時メッセージの記録とマルウェアを素早く消去し、またオンチェーン上の資金はクロスチェーン・ブリッジを通じてイーサリアムネットワークへ送られている。朝鮮のハッカー組織は、従来から成熟したマネーロンダリングネットワークとクロスチェーン混在(ミキシング)能力を備えており、盗まれた資金の大部分は回収が困難な経路に入っている可能性が高い。
業界のセキュリティ能力における非対称な競争。国家級ハッカー組織は、組織的なリソース、継続的な資金支援、専門化された分業を持っている。一方で、ほとんどのDeFiプロトコルは小規模チームとして運用されており、セキュリティリソースの配分は限られている。この非対称性は攻撃者によって体系的に利用されつつある。これらの攻撃者が用いるアイデンティティは、完全な職歴、公開された身元証明書、プロフェッショナルなソーシャルネットワークを構築しており、ビジネス協業における通常の審査に耐えられるようになっている。
信頼疲れが業界のイノベーションを抑制する。新たな協業相手の導入のたびに、厳格なセキュリティ審査と継続的な監視が必要になるなら、DeFiの中核的な利点――開放性と組み合わせ可能性――が損なわれるリスクにさらされる。安全防御と運用効率の間でどのようにバランスを取るかは、業界が必ず答えなければならない難題だ。
まとめ
Driftのハッキング事件は、長い間見過ごされてきた現実を浮き彫りにした。DeFi業界のセキュリティ脅威は、すでに世代をまたぐ飛躍を完了している。スマートコントラクトの脆弱性から秘密鍵の窃取、そして現在では6か月に及ぶ国家級のソーシャルエンジニアリングによる侵入まで、攻撃者の戦術進化の速度は、防御体系の更新速度をはるかに上回っている。攻撃者がコードを突破する必要がなくなり、人ひとりの信頼を突破するだけでよくなったとき、多重署名、コールドウォレット、ハードウェア分離といった従来型のセキュリティツールの有効性が改めて問われることになる。
業界が必要としているのは、より完成度の高いコード監査やより厳格なアクセス制御だけではない。まったく新しいセキュリティの発想――「人為的な信頼」を「スマートコントラクトのコード」と同等の重要な攻撃面として捉えること――がより必要だ。背景審査から運用上のセキュリティ文化へ、生態系の協業パートナーの継続的な監視からインシデント対応のプロトコル横断的な協調メカニズムまで、あらゆる局面を再定義する必要がある。国家級勢力が参入する暗号セキュリティの新常態のもとでは、どのプロトコルも一人で安全を保つことはできない――業界全体の防御チェーンは、最も脆弱な一環の強度にしか到達できない。
FAQ
問:UNC4736はLazarusと同じ組織なのか?
UNC4736は、セキュリティ企業が朝鮮政府と関連する脅威行為者を追跡するために用いるコードネームであり、より広く知られたLazarus Groupとは重複する部分はあるものの、完全に同一ではない。UNC4736は、暗号資産領域において、より継続的なベースライン収益獲得の任務を遂行していると考えられており、小規模から中規模の標的への継続的な浸透に注力している。
問:Driftはなぜ多重署名を使っているのに、攻撃を阻止できなかったのか?
攻撃者は多重署名の秘密鍵を直接窃取したのではなく、ソーシャルエンジニアリングによって多重署名の承認権限を取得した後、SolanaのDurable Nonce機能を利用して取引を事前に署名し、十分な権限を得た時点で瞬時に実行した。これは、多重署名メカニズムのセキュリティ上の前提が「署名者がソーシャルエンジニアリング手段に操られていないこと」にあることを示している。
問:今回の攻撃はスマートコントラクトの脆弱性を伴っていたのか?
関係ない。Drift公式は、今回の攻撃の核心はソーシャルエンジニアリングによる侵入とDurable Nonce機能の悪用であり、従来型のスマートコントラクトコードの脆弱性ではないと確認している。
問:事件後、Driftはどのような措置を取ったのか?
Driftはすべてのプロトコル機能を凍結し、損害を受けたウォレットを多重署名から移し、セキュリティ企業に深いフォレンジック調査への参加を依頼した。プロトコルトームは、法執行機関と協力して盗まれた資金の追跡を試みていると述べている。