Solanaベースの分散型取引所Driftは、2026年4月1日に2億8500万ドルを窃取された。
DPRKの国家支援ハッキンググループUNC4736による、2025年秋から始まった6カ月間のソーシャルエンジニアリング作戦が原因だ。攻撃者は量的取引会社を装い、暗号資産カンファレンスでDriftのコントリビューターに接触。2025年12月から2026年1月にかけてEcosystem Vaultのオンボーディングを行い、100万ドル超を入金した。攻撃ベクターは、VS Codeの悪意あるリポジトリのクローンと、Apple TestFlight経由のウォレットアプリのダウンロードの2経路が疑われる。UNC4736は2023年のX_TRADER/3CXサプライチェーン侵害、および2024年10月のRadiant Capitalへの5300万ドルの攻撃とも関連する。
From: 
$285 Million Drift Hack Traced to Six-Month DPRK Social Engineering Operation
【編集部解説】
今回のDrift事件は、「暗号資産取引所へのハッキング」というよりも、「国家ぐるみの長期潜入工作」と表現する方が正確かもしれません。技術的な脆弱性を突いた攻撃ではなく、半年にわたる人間関係の構築を足がかりにした、きわめて人間的な手口であった点が、この事件の本質です。
まず、技術的な背景を整理しておきましょう。Driftは「Durable Nonce(耐久ノンス)」と呼ばれる仕組みを悪用されました。通常のブロックチェーン取引は即時に処理されますが、Durable Nonceを使うと、トランザクションへの署名と実際の送金を切り離すことができます。攻撃者たちはこの仕組みを使い、コントリビューターたちに事前署名をさせておき、狙ったタイミングで一気に実行したとみられます。PIF Research Labsの分析によれば、主要ヴォールトからの資産引き出しはわずか10秒という驚異的な速さで完了しました。綿密な準備があったからこそ、実行は電光石火だったわけです。
見落とせないのは、この事件が単なる「最大規模」の話ではない点です。Ellipticは今回の被害額を2億8600万ドルと算定しており、2026年に入ってからのDPRK関連の攻撃としては18件目にあたると報告しています。すでに2026年だけで3億ドル以上が奪われています。DPRKが暗号資産窃取によって積み上げてきた累計被害総額は、Chainalysisの試算で少なくとも67億5000万ドルにのぼります。
この事件が示す最も重要な教訓は、セキュリティの問題がもはや「技術」だけでは解決できないという現実です。プロトコルのスマートコントラクト自体に脆弱性はなく、シードフレーズも漏洩していませんでした。破られたのは、「信頼」という人間的な要素でした。DeFiプロジェクトのセキュリティ設計において、内部の意思決定者やコントリビューターへのアクセス管理が、コードと同等かそれ以上に重要であることを、業界全体が再認識する必要があります。
規制面への影響も無視できません。DPRKによる暗号資産窃取は、軍事プログラム——新型駆逐艦・原子力潜水艦・偵察衛星の開発——の資金源と米国政府が明言している以上、国際社会が暗号資産分野の規制強化を迫られる局面はさらに加速するでしょう。Chainalysisが指摘するように、DPRKは中国語圏のマネーロンダリングネットワークや複数のブリッジサービスを駆使して資金を洗浄しており、その追跡は容易ではありません。
長期的な視点で見れば、本事件はDeFi産業の成熟度を試す試金石でもあります。Driftは迅速に法執行機関やフォレンジックパートナーと連携し、詳細なインシデントレポートを公開しました。この透明性はブロックチェーンという技術の特性を活かしたものであり、従来の金融犯罪では不可能な水準のトレーサビリティを実現しています。攻撃が高度化する一方で、オープンな情報共有によって業界全体の防衛力を高めるというDeFiの可能性も、同時に示された事件といえます。
【用語解説】
UNC4736
Mandiantが付与した脅威アクターの識別コード。AppleJeus、Citrine Sleet、Golden Chollima、Gleaming Piscesとも呼ばれる、北朝鮮国家が支援するハッキンググループだ。少なくとも2018年から暗号資産分野を標的とした金銭窃取を専門とする。
ソーシャルエンジニアリング
技術的な脆弱性ではなく、人間の心理や信頼関係を利用して機密情報へのアクセスや不正操作を行う攻撃手法だ。今回の事件では、偽の取引会社を演じた人物が半年かけてコントリビューターとの信頼関係を構築したことが、最大の侵入経路となった。
Durable Nonce(耐久ノンス)
Solanaブロックチェーンの仕組みのひとつ。通常のトランザクションは短時間で無効化されるが、Durable Nonceを使うと「事前に署名されたトランザクション」を後から実行できる。今回の攻撃ではこの仕組みが悪用され、コントリビューターに無害に見えるトランザクションへ署名させておき、攻撃当日に一斉実行されたと疑われている。
Ecosystem Vault
Driftが提供するDeFiの仕組みのひとつ。外部の取引会社などが戦略を登録し、ユーザー資金を運用できるヴォールト(金庫型の資産管理機能)だ。今回の攻撃者はこのオンボーディングプロセスを活用し、100万ドル超を入金することでDriftエコシステム内に正規の活動拠点を確立した。
スマートコントラクト
ブロックチェーン上に記述された自動実行プログラムのことだ。条件が満たされると自動的に処理が行われる。今回の事件では、Driftのスマートコントラクト自体には脆弱性がなく、あくまで人間(コントリビューター)を介した署名の詐取が侵入経路となった。
マルチシグ(Multi-Signature)
複数の署名者が承認することで初めてトランザクションが実行される仕組みだ。単一の鍵が漏洩しても資産が守られる設計だが、今回は「2/5マルチシグ」構成において、必要な署名者を欺くことで突破された。
クロスチェーンブリッジ
異なるブロックチェーン間で資産を移動させるための仕組みだ。今回の事件では、盗まれた資産がSolana上のDEXでUSDCにスワップされた後、Ethereumネットワークへとブリッジされて資金洗浄に使われたとされる。追跡を困難にする常套手段として、DPRK系グループが繰り返し利用している。
PIF Research Labs
暗号資産分野に特化したオンチェーン分析・セキュリティリサーチ組織。今回の事件では、Driftからの主要資産の引き出しがわずか10秒で完了したと分析・報告した。
【参考リンク】
Drift Protocol(外部)
SolanaベースのDeFi分散型デリバティブ取引所。今回の攻撃の被害プラットフォームで、詳細なインシデントレポートも公開している。
Elliptic(外部)
ブロックチェーン分析・コンプライアンス専門企業。今回の被害額を2億8600万ドルと算定し、DPRK関連の指標を早期に報告した。
Chainalysis(外部)
暗号資産取引の追跡・分析を専門とするブロックチェーンインテリジェンス企業。政府・法執行機関と連携し、2025年のDPRK盗難額を報告。
Microsoft Visual Studio Code(外部)
Microsoftの無償コードエディター。今回の攻撃でtasks.jsonが悪用され、v1.109・v1.110でセキュリティ制御が追加された。
Apple TestFlight(外部)
Appleのベータテスト配布プラットフォーム。App Store審査不要のため、悪意あるアプリの配布経路として悪用された疑いがある。
Radiant Capital(外部)
Ethereum系マルチチェーンのDeFiプラットフォーム。2024年10月にUNC4736による5300万ドルの攻撃を受けている。
【参考記事】
Drift Protocol exploited for $286 million in suspected DPRK-linked attack(外部)
DriftへのDPRK関連攻撃を分析。被害額2億8600万ドル、2026年18件目の事案、3億ドル超盗難などの数値を提示している。
North Korean hackers stole a record $2 billion of crypto in 2025, Chainalysis says(外部)
2025年のDPRK暗号資産盗難が約20億2000万ドルと過去最高、前年比51%増であることをChainalysis報告書をもとに解説。
2025 Crypto Theft Reaches $3.4 Billion – Chainalysis(外部)
2025年の暗号資産盗難総額34億ドル超を分析。Bybit侵害だけで約15億ドルを占め、DPRKが最大脅威と示す公式ブログ。
Drift Loses $285 Million in Durable Nonce Social Engineering Attack Linked to DPRK(外部)
DriftへのDurable Nonce攻撃を詳報。10秒以内の引き出し完了やTornado Cash使用など、攻撃初期の実態を記録した記事。
Security lapses led to $285 million loss after Drift Protocol targeted in sophisticated social engineering hack(外部)
VS CodeとCursorの脆弱性との関連を詳述。2025年12月〜2026年2月に未パッチだったリポジトリ攻撃ベクターを分析する。
【編集部後記】
半年間、顔を合わせ、言葉を交わし、信頼を積み重ねた相手が、実は国家の工作員だったとしたら——。私たちはこのニュースを読んで、そんな問いに言葉を失いました。技術がどれだけ進化しても、最後に狙われるのは「人間」なのかもしれません。みなさんは、こうした長期的な信頼を悪用する攻撃に対して、何か備えられると思いますか?ぜひ一緒に考えてみたいです。
