**Drift Protocol**は、2026年4月1日のセキュリティインシデント中に、攻撃者がプラットフォームから約2億8500万ドルを引き出したことを確認しました。 ### 攻撃の詳細 **Drift**によると、悪意のあるアクターは耐久性のあるノンセ（durable nonces）を伴う新しい攻撃を通じて不正アクセスを獲得し、セキュリティ評議会の管理権限を急速に乗っ取りました。同社は、数週間にわたる準備と、耐久性のあるノンセアカウントを使用して遅延実行されるトランザクションに事前に署名することを含む、段階的な実行を伴う非常に巧妙な操作であったと説明しています。 **Drift**は、この攻撃はプログラムやスマートコントラクトの脆弱性を悪用したものではなく、シードフレーズが侵害された証拠もないと強調しています。代わりに、この侵害は、実行前に取得された不正または虚偽のトランザクション承認に関わるもので、耐久性のあるノンセメカニズムと巧妙なソーシャルエンジニアリングによって促進された可能性が高いです。 攻撃者は十分なマルチシグネチャ（multisig）承認を取得し、悪意のある管理者転送を実行してプロトコルレベルの権限を掌握しました。この制御を利用して悪意のある資産を導入し、事前に設定されたすべての引き出し制限を解除することで、攻撃者は既存の資金を引き出すことができました。 ### タイムラインと調査 **Drift**のタイムラインによると、ハッキングの準備は2026年3月23日には始まっていました。同社は、インシデントの原因を特定するために複数のセキュリティ企業と協力しており、ブリッジ、取引所、法執行機関と連携して盗難された資産の追跡と凍結を進めています。 P**IF Research Labs**の分析によると、資産は10秒以内に引き出され、主要なボルトが驚くほど短時間で空になったことが明らかになりました。 ### 北朝鮮との関連 **Elliptic**と**TRM Labs**からの別々の報告は、北朝鮮の暗号通貨泥棒がこの強盗の背後にいる可能性を示唆するオンチェーンの兆候を指摘しています。これらの兆候には、初期のステージングでの**Tornado Cash**の使用、クロスチェーンブリッジングパターン、およびハッキング後の資金洗浄の速度と規模が、**Bybit**の2025年の侵害を含む、北朝鮮の脅威アクターに起因する過去のハッキングと一致していることが含まれます。 **TRM Labs**は、決定的な脆弱性はスマートコントラクトのバグではなく、ソーシャルエンジニアリングによってマルチシグ署名者が隠された承認に事前に署名させられたことと、ゼロタイムロックのセキュリティ評議会移行の組み合わせであったと強調しています。攻撃者は、**Drift**のオラクルが正当な担保として扱った架空の資産であるCarbonVote Tokenを製造しました。 **Elliptic**の分析は、朝鮮民主主義人民共和国（DPRK）の脅威アクターに関連する既知の取引手法と一致しており、このインシデントは年初からのDPRKによる18番目の追跡された行為であり、これまでに3億ドル以上が盗まれていると指摘しています。彼らは、これがDPRKによる大規模な暗号資産盗難の持続的なキャンペーンの継続であり、近年65億ドル以上の暗号資産が盗まれており、その資金が兵器プログラムの資金調達に充てられていると強調しています。 ### ソーシャルエンジニアリングと継続的な脅威 ソーシャルエンジニアリングは、依然として主要な初期アクセス経路であり、説得力のあるペルソナとデコイを活用して、**DangerousPassword**および**Contagious Interview**として追跡されているキャンペーンを通じて、暗号通貨およびWeb3セクターを標的にしています。これらのキャンペーンからの合計収益は、今年3750万ドルに達しています。 **Elliptic**は、DPRKのソーシャルエンジニアリング技術の進化と、AIの利用可能性の増加が組み合わさることで、この脅威は取引所以外にも広がり、個々の開発者、プロジェクト貢献者、および暗号資産インフラストラクチャへのアクセスを持つあらゆる人物を標的にする可能性があると警告しています。 このインシデントは、UNC1069と呼ばれる北朝鮮のハッキンググループに起因する、人気のAxios npmパッケージのサプライチェーン侵害とも重なっています。このグループは、BlueNoroff、CryptoCore、Nickel Gladstone、Sapphire Sleet、Stardust Chollimaとも関連付けられています。**Google**、**Microsoft**、**CrowdStrike**、**Sophos**などのセキュリティベンダーは、このグループが北朝鮮政権の収益源となっていると関連付けています。