450億円相当のドリフトハッキング、不正流出の手法は？

ソーシャルエンジニアリングによって実行か

ソラナ（SOL）基盤の分散型取引プラットフォーム、ドリフトプロトコル（Drift）は2日、前日に起きた大規模ハッキング被害について詳しい状況を報告した。

これまでの調査結果によると、以下のことが明らかになっていると述べる。

• Driftのプログラムやスマートコントラクトのバグによるものではない
• シードフレーズがハッキングされた証拠はない
• この攻撃の実行前に不正なトランザクションが承認されていた。このため、耐久性のあるノンスメカニズムと高度なソーシャルエンジニアリングによって実行された可能性が高い

また、今回の攻撃ではプロトコルから約2億8,000万ドル（約450億円）相当の資産が引き出されたとしている。レクトのリーダーボードによると、これはオンチェーン仮想通貨ハッキングの中でも上位にとなる被害規模だ。

犯人は、まずノンスアカウントを作成してアクセス権を事前に確保。その後、このアカウントに紐づいたトランザクションを、マルチシグ署名者の少なくとも5人中2人が承認していた。5人中2人は、トランザクション実行に充分な割合である。

マルチシグ署名者による承認は、標的型ソーシャルエンジニアリング、あるいはトランザクションを安全なものと偽装することによって行われた可能性が高いとされる。

犯人は数分以内に不正に管理者権限を移転させ、プロトコルレベルの権限を掌握。この権限を利用して偽の資産をドリフトプロトコルに投入し、プロトコルの出金限度額も解除した。

偽トークンの価値を吊り上げた後に、借入メカニズムを悪用し、ドリフトプロトコルから流動性を奪い取った。借入・貸付機能や保管庫へ入金された資金、取引のために預けられていた資金はすべて今回の攻撃の対象となっている。

ドリフトプロトコルに預け入れられていないDSOL（Driftバリデーターにステーキングされている資産を含む）や、保護のためプロトコルから引き出される保険基金の資産は無事だった。

ドリフトプロトコルは予防措置として、残りのすべての機能を凍結し、侵害されたウォレットを削除するためにマルチシグを更新している。

DeFiガバナンス集中化の問題も

ブロックチェーンセキュリティ専門家のデビッド・シュウェッド氏は、DeFiにおける集中化の問題に言及。少人数のチームとマルチシグネチャ・ウォレットのような中央集権化ポイントが、サイバーセキュリティにおけるリスクになると述べた。

ガバナンスが5人の人物に集中していたことから、そのうち2人を狙った攻撃が行われたことに触れた格好だ。

また仮想通貨コミュニティからは、ある時刻に達するまで取引の実行や資金へのアクセスを制限する「タイムロック」機能があれば、これほど迅速に資金を盗む攻撃を防ぐことができたのではないかとの意見も上がった。

ブロックチェーン分析企業Ellipticは、オンチェーン行動や資金洗浄方法などを分析し、今回の攻撃は北朝鮮と関連している兆候があると指摘している。一方、シュウェッド氏は攻撃の精度から、犯人は内部関係者の可能性もあると意見した。

関連：欧州中銀、DeFiガバナンスは「分散化されていない」と問題指摘　規制方法を提言