今年最大のDeFiハックは、フリードリンク付きのネットワーキングイベントから始まった。Drift Protocolは4月5日、4月1日のハックが、現在、北朝鮮政府関係のアクターによるものと中〜高い確度でみなされている、6カ月にわたる情報活動の結果だったと公表した。
Drift Protocol攻撃の詳細
侵入は2025年秋に始まった。量的取引会社を装ったグループが、大規模な暗号資産カンファレンスでDriftのコントリビューターに接触したのだ。その後数カ月にわたり、彼らは複数の国で開催された業界イベントでチームメンバーと対面で会い続けた。
彼らは自分たちの資本から100万ドル以上をエコシステム・ボールトに預け入れた。
彼らは複数のワーキングセッションを通じて詳細なプロダクト質問を投げかけ、Driftのインフラ内部に一見正当な取引事業を構築しているように見せかけた。
2025年12月から2026年3月にかけて、このグループはボールト統合やカンファレンスでの対面ミーティングを通じて関係をさらに深めた。コントリビューター側には疑う理由がほとんどなかった — 攻撃が行われた時点で、この関係はほぼ半年に及び、検証済みの職務経歴、実のある技術的議論、そして機能するオンチェーン上のプレゼンスが含まれていた。
4月1日に攻撃が発生したときには、グループのTelegramチャットや悪意あるソフトウェアはすでに削除されていた。フォレンジック調査により、2つの可能性の高い侵入経路が特定された。1つは、ボールトのフロントエンドをデプロイするという名目で共有された悪意あるコードリポジトリであり、もう1つはグループのウォレット製品として提示されたTestFlightアプリケーションである。
セキュリティコミュニティが2025年12月から2026年2月にかけて積極的に警告していたVSCodeおよびCursorエディタの既知の脆弱性により、ファイルを開くだけでサイレントなコード実行が可能になっていた可能性がある。
残りのプロトコル機能はすべて凍結され、侵害されたウォレットはマルチシグから除外された。調査にはMandiantが起用されており、攻撃者のウォレットは取引所やブリッジ事業者全体でフラグ付けされている。
関連記事: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
北朝鮮の脅威アクターが関与か
SEALS 911チームによる調査では、このオペレーションは2024年10月のRadiant Capitalハックを実行したのと同じ脅威アクターによるものだと、中〜高い確度で評価されている。
Mandiantは以前、その攻撃を、AppleJeusやCitrine Sleetとしても追跡されている北朝鮮政府関係グループUNC4736の犯行と帰属していた。
両者の関連性は、オンチェーン上の証拠とオペレーションのパターンの両方に基づいている。
Drift攻撃を準備・テストするために使われた資金フローはRadiant攻撃者にさかのぼることができ、キャンペーン全体で用いられたペルソナは、既知のDPRK関連活動と重なっている。とりわけ、対面で現れた人物はいずれも北朝鮮国籍ではなかった点が注目される — このレベルのDPRK脅威アクターは、対面での関与に第三者の仲介者を利用することが知られている。
次に読む: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline