Drift Protocolハック、北朝鮮系ハッカーが関与か　半年にわたる潜入工作が判明＝公式最新報告

ソーシャルエンジニアリングの痕跡

ソラナ（SOL）基盤の分散型取引プラットフォーム、ドリフトプロトコル（Drift Protocol）は5日、1日に発生した大規模なハッキング被害に関する調査報告を公開した。チームの発表によると、今回の事件は、半年以上かけて綿密に構築された「組織的な潜入工作」であったことが判明した。

初期調査結果によると、攻撃の準備は2025年秋頃から始まっていた。犯人グループは、クオンツトレーディング企業を装い、主要暗号資産（仮想通貨）カンファレンスでドリフト関係者に接触。彼らは高度な技術知識と検証可能な経歴を備え、ドリフトの仕組みにも精通していた。

その後も同グループは、複数国のイベントで継続的に接触を重ね、特定の開発・運営担当者との関係を意図的に深めていく。

初回接触後、Telegramグループが作成され、数ヶ月にわたり取引戦略やVault（資産管理庫）統合に関する実務的な議論が重ねられた。犯人グループは、2025年12月から2026年1月にかけ、戦略詳細を提出した上で実際にドリフト上に「エコシステムVault」を構築。100万ドルを超える資金を預け入れるなど、通常のオンボーディングプロセスと区別がつかない行為を積み重ね、内部からの信頼を勝ち得たとみられる。

2026年の2月〜3月にかけてもVault統合に関する協議は継続された。この段階で犯人グループは、ドリフト関係者から「対面で協業するビジネスパートナー」として認知されるに至り、開発関連のリポジトリやツール、アプリが共有されることとなった。

ドリフト側は、このようなやり取りはトレーディング企業では一般的な慣習だと説明しているが、最終的には、これらが攻撃の侵入経路となった可能性が指摘されている。

攻撃発生直後に、犯人グループとのTelegramのチャット履歴や関連するマルウェアは、完全に削除されており、事前に綿密な計画があったことを示唆している。

侵入経路と犯人の特定

報告書では、攻撃の侵入経路として以下の三つの可能性を指摘している。

• フロントエンド開発を名目に共有されたコードリポジトリをクローンさせる手法
• ウォレットアプリを装ったTestFlightアプリのインストールを誘導する手法
• リポジトリベース

リポジトリを起点とした攻撃経路については、当時セキュリティコミュニティから、VSCodeやCursorなどの脆弱性が繰り返し警告されていた。この脆弱性は、エディタでリポジトリやファイルを開くだけで、ユーザーに一切の警告なしに任意コードの実行が行われるという深刻なものだった。

この攻撃の調査には、サイバーセキュリティの世界的権威であるMandiantが正式に関与しており、現在はデバイスレベルでの詳細なフォレンジック解析（電子鑑識）が進められている。

現段階の調査結果によると、「中〜高程度の確度」で、2024年10月に発生したRadiant Capitalのハッキングと同一の攻撃主体による可能性が示唆されている。この攻撃者は、Mandiantによって「UNC4736」と識別されており、北朝鮮系のハッカー集団「AppleJeus／Citrine Sleet」として知られる組織だ。

なお、ドリフトと対面で接触していた人物自体は北朝鮮国籍ではないとされる。しかし、こうした第三者を用いて対面での関係構築を行う活動は北朝鮮系ハッカーの手法として知られている。

現在、ドリフトは全プロトコル機能を一時停止し、侵害されたウォレットをマルチシグから除外した。また、攻撃者のアドレスは主要な取引所やブリッジで、ブロック対象としてフラグ付けされている。

関連： ソラナ（SOL）とは？｜仕組み・ETF・ステーキング完全ガイド【2026年】