DPRK Lazarus GroupがDrift Protocolの2億8600万ドルのSolana盗難に関与した疑い
Solanaネットワーク上最大の分散型無期限先物取引所であるDrift Protocolは、預かり資産(TVL)が一朝で約5億5000万ドルから2億5000万ドル未満に暴落し、現在2億3200万ドルとなったことを確認した後、この攻撃を認めました。Bitcoin.com Newsがこの問題を最初に報道しました。DRIFTトークンはその後数時間で37%~42%も下落し、0.04~0.05ドル付近で底を打ちました。
報道によると、攻撃はコードのバグではなく、Tornado Cashからの出金から始まりました。3月11日、攻撃者はイーサリアムブロックチェーンベースのプライバシープロトコルからETHを引き出し、その資金を使って3月12日にcarbonvoteトークン(CVT)を展開しました。ブロックチェーンアナリストは、展開のタイムスタンプが平壌時間の約9:00に対応していることを指摘し、この詳細がすぐに警告を発しました。
2026年4月3日のDRIFTトークン。複数の報道によると、その後3週間にわたり、攻撃者はRaydium分散型取引所でCVTの最小限の流動性を供給し、仮装売買を使用して価格を1.00ドル付近に維持しました。Driftのオラクルはその価格を正当なものと判断しました。攻撃者は、それを監視するすべての自動化システムにとって本物に見える偽の担保資産を構築していたのです。
「本日早く、悪意のある攻撃者がdurable noncesを使用した新しい攻撃を通じてDrift Protocolへの不正アクセスを取得し、DriftのSecurity Councilの管理権限を迅速に乗っ取る結果となりました」とDriftチームは書いています。
プロジェクトのXアカウントは次のように追加しました:
表面上、3月23日から3月30日の間に、Drift攻撃者は人間層に移行しました。durable noncesと呼ばれる正当なSolana機能を使用して、攻撃者はDriftのSecurity Councilマルチシグのメンバーに、日常的に見える取引に事前署名させたと報じられています。これらの署名は事前承認されたアクセスキーとなり、攻撃者が準備ができるまで予備として保持されました。
3月27日、DriftがSecurity Councilを2-of-5署名閾値に移行し、タイムロックを完全に削除したときに、その機会が閉じられました。タイムロックは通常、管理行為に24~72時間の遅延を強制し、コミュニティに疑わしいものをキャッチして取り消す時間を与えます。それがなければ、攻撃者はゼロ遅延の実行権限を持っていました。タイムロックがなくなった瞬間に、事前署名された取引が有効になりました。
4月1日、攻撃者はこれらの取引を有効化し、CVTを有効な担保資産としてリストに追加し、出金制限を引き上げ、数億のCVTトークンを預け入れました。それに対してDriftのリスクエンジンは実際の資産を発行しました。プロトコルは数百万のJLPトークン、数百万のUSDC、数百万のSOL、そして少量のラップドビットコインとイーサリアムを引き渡しました。31件の出金取引が約12分でクリアされました。
攻撃者は盗んだトークンをJupiterを使用してUSDCに変換し、イーサリアムブロックチェーンにブリッジし、数万のETHに交換しました。一部の資金はHyperliquidを経由し、一部は直接Binanceに移動しました。4月3日、Driftはイーサリアムブロックチェーンアドレスから4つのハッカー管理下のウォレットにオンチェーンメッセージを送信しました。cryptonomist.chの出版物によると、メッセージは次のように読めます:
セキュリティ企業のEllipticとTRM Labsは、Tornado Cashの起源、平壌時間の展開署名、ソーシャルエンジニアリングの焦点、およびハッキング後のマネーロンダリングの速度を引用して、この攻撃をDPRKに関連する脅威アクターに帰属させました。Lazarus Groupは、2022年のRoninブリッジハッキングで同じ忍耐力と人間をターゲットにしたアプローチを使用しました。米国政府はこれらの盗難を北朝鮮の兵器プログラム資金調達に結び付けており、Ellipticは2026年の第1四半期だけで3億ドル以上が盗まれたことを追跡しています。
感染は20以上のプロトコルに広がりました。Prime Numbers Fiは数百万の損失を報告しました。Carrot Protocolは、預かり資産(TVL)の50%が影響を受けた後、ミントおよび償還機能を一時停止しました。Pyra Protocolは出金を完全に無効にし、すべてのユーザー資金にアクセスできなくしました。Piggybankは106,000ドルを失い、自社のチーム財源からユーザーに払い戻しました。
Solana財務戦略を持つNasdaq上場企業であるDeFi Development Corp.は、4月1日にDriftへのエクスポージャーがないことを確認しました。そのリスクフレームワークはプロトコルを完全に除外していました。その事実は、会社が意図した以上に注目を集めました。
Driftインシデントは、業界のほとんどがすでに知っていたが完全には適用していなかった1つの明確な教訓を生み出しました:タイムロックはオプションではありません。3月27日のその単一のセーフガードの削除は、複雑な数週間の攻撃を12分間の現金化に変えました。遅延メカニズムのないプロトコルガバナンスは、開いたドアを持つガバナンスです。
DeFi攻撃後の次の48時間は、Driftがユーザーの信頼を維持し、回復の道筋を描く能力にとって重要であると説明されました。4月3日時点で、包括的な払い戻し計画は発表されていません。
FAQ 🔎
- Drift Protocolに何が起こったのですか? 2026年4月1日、攻撃者は偽の担保資産と事前署名された管理取引を使用して、Drift Protocolから2億8600万ドルを流出させ、プロトコルのコアボールトを12分で空にしました。
- Drift Protocolハッキングの責任者は誰ですか? EllipticとTRM Labsを含むセキュリティ企業は、マネーロンダリングパターンとLazarus Groupの手口と一致するオンチェーンタイムスタンプを引用して、この攻撃をDPRKに関連する脅威アクターに帰属させました。
- Drift Protocolで私のお金は安全ですか? Driftは攻撃後、すべての入出金を停止しました。2026年4月3日時点で、PyraやCarrotなどの影響を受けたプロトコルのユーザーは資金にアクセスできないままです。
- Solana DeFiにおけるdurable nonce攻撃とは何ですか? durable nonce攻撃は、正当なSolana機能を使用して日常的に見える取引に事前署名し、攻撃者が実行することを選択するまでそれらをライブ認証キーとして保持します。
Source: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
