仮想通貨デリバティブプラットフォームのDrift Protocolは、2026年4月1日に発生した約2億8500万ドル相当のハッキング事件に関する調査の初期結果を発表した。同社によると、この攻撃は突発的なセキュリティ上の欠陥によるものではなく、約6ヶ月にわたる計画的かつ専門的な侵入作戦の結果であったという。
Drift社は、今回の事件のあらゆる側面を解明するため、法執行機関、鑑識チーム、および生態系関係者と協力していると述べた。
調査結果によると、攻撃者は2025年秋からDriftチームと組織的に接触し、「クオンツトレーディング」会社を装っていたことが明らかになった。彼らは様々な国の主要な仮想通貨カンファレンスでチームメンバーと直接接触することで信頼を築き、時間をかけてプロフェッショナルなビジネスパートナーとしての地位を確立していった。Telegramを介したコミュニケーションでは、戦略策定や製品統合といったトピックが詳細に話し合われた。また、攻撃者はプラットフォーム上での積極的な活動のために100万ドル以上の資金を投資し、「エコシステム・ボールト」を立ち上げたことも判明した。こうした長期にわたるやり取りから、攻撃者は技術的な面だけでなく、ソーシャルエンジニアリングの面でも非常に高度な作戦を実行していたことが明らかになった。
Driftの分析によると、今回の攻撃は複数の技術的経路を通じて実行された。攻撃者がフロントエンド開発用として共有したコードリポジトリをクローンした際に、チームメンバーの1人のデバイスが侵害された可能性があると考えられている。また、別のチームメンバーは、攻撃者がウォレットアプリとして提示したTestFlightアプリをダウンロードしたことで、デバイスが感染したとみられている。さらに、2025年末から2026年初頭にかけて悪用されると予想されるVSCodeやカーソルベースの脆弱性が、この攻撃に利用された可能性も検討されている。攻撃時に攻撃者の通信記録やマルウェアがすべて即座に削除されたという事実は、作戦の綿密な計画性とプロ意識を示す重要な点である。
同社は、今回の攻撃の背後にいる人物の評価において、今回の発見は2024年に発生したRadiant Capitalハッキング2024と中程度から高い確信度で関連していると述べた。この攻撃は、以前UNC4736として特定され、北朝鮮と関連付けられていたグループによって実行されたことが知られている。Driftは、作戦中に直接会談を行った人物は北朝鮮国民ではなかった可能性があるが、こうした国家支援グループは通常、第三者の仲介者を使って直接接触を図ると指摘した。
攻撃を受け、Drift Protocolはプロトコル上のすべての重要機能を一時的に停止し、侵害されたウォレットをマルチシグアーキテクチャから削除したと発表した。攻撃者のアドレスは取引所やブリッジ運営者によって特定されており、Mandiantと協力して事件の技術分析を進めていると述べた。同社は、デバイスベースのフォレンジック調査は現在も継続中であり、新たな発見があれば随時公開すると発表した。
※これは投資アドバイスではありません。