450億円相当のドリフトハッキング、不正流出の手法は？

この記事のポイント

ソーシャルエンジニアリングによって実行か

ソラナ（SOL）基盤の分散型取引プラットフォーム、ドリフトプロトコル（Drift）は2日、前日に起きた大規模ハッキング被害について詳しい状況を報告した。

これまでの調査結果によると、以下のことが明らかになっていると述べる。

Driftのプログラムやスマートコントラクトのバグによるものではない
シードフレーズがハッキングされた証拠はない
この攻撃の実行前に不正なトランザクションが承認されていた。このため、耐久性のあるノンスメカニズムと高度なソーシャルエンジニアリングによって実行された可能性が高い

また、今回の攻撃ではプロトコルから約2億8,000万ドル（約450億円）相当の資産が引き出されたとしている。レクトのリーダーボードによると、これはオンチェーン仮想通貨ハッキングの中でも上位にとなる被害規模だ。

犯人は、まずノンスアカウントを作成してアクセス権を事前に確保。その後、このアカウントに紐づいたトランザクションを、マルチシグ署名者の少なくとも5人中2人が承認していた。5人中2人は、トランザクション実行に充分な割合である。

マルチシグ署名者による承認は、標的型ソーシャルエンジニアリング、あるいはトランザクションを安全なものと偽装することによって行われた可能性が高いとされる。

ブロックチェーンセキュリティ企業Nominisの月次レポートによると、2026年2月の仮想通貨被害額は約4,930万ドルと前月比で87%と激減。しかしハッカーの標的はスマートコントラクトの脆弱性から、フィッシングやアドレスポイズニングなどユーザーの行動を悪用するソーシャルエンジニアリングへと移行。

ソーシャルエンジニアリングとは

技術的なハッキングではなく、人間の心理や信頼を利用して情報や承認を騙し取る手法。上司や同僚、従業員へのなりすましや機密情報ののぞき見、偽サイトやメールに情報入力させるなどの手口がある。

犯人は数分以内に不正に管理者権限を移転させ、プロトコルレベルの権限を掌握。この権限を利用して偽の資産をドリフトプロトコルに投入し、プロトコルの出金限度額も解除した。

偽トークンの価値を吊り上げた後に、借入メカニズムを悪用し、ドリフトプロトコルから流動性を奪い取った。借入・貸付機能や保管庫へ入金された資金、取引のために預けられていた資金はすべて今回の攻撃の対象となっている。

ドリフトプロトコルに預け入れられていないDSOL（Driftバリデーターにステーキングされている資産を含む）や、保護のためプロトコルから引き出される保険基金の資産は無事だった。

ドリフトプロトコルは予防措置として、残りのすべての機能を凍結し、侵害されたウォレットを削除するためにマルチシグを更新している。

ブロックチェーンセキュリティ専門家のデビッド・シュウェッド氏は、DeFiにおける集中化の問題に言及。少人数のチームとマルチシグネチャ・ウォレットのような中央集権化ポイントが、サイバーセキュリティにおけるリスクになると述べた。

ガバナンスが5人の人物に集中していたことから、そのうち2人を狙った攻撃が行われたことに触れた格好だ。

また仮想通貨コミュニティからは、ある時刻に達するまで取引の実行や資金へのアクセスを制限する「タイムロック」機能があれば、これほど迅速に資金を盗む攻撃を防ぐことができたのではないかとの意見も上がった。

ブロックチェーン分析企業Ellipticは、オンチェーン行動や資金洗浄方法などを分析し、今回の攻撃は北朝鮮と関連している兆候があると指摘している。一方、シュウェッド氏は攻撃の精度から、犯人は内部関係者の可能性もあると意見した。

ECBがDeFi運営の集中化を分析した論文を発表した。代表的プロジェクトで上位100名が80%超のガバナンストークンを保有していると分析。透明性向上など具体的な規制を提案している。

CoinPostの特集記事New!

CoinPost App DL