Drift Protocolハッキング事件（2026年）：何が起きたのか、誰が被害に遭ったのか、そして今後の見通し

Drift Protocolの2億8600万ドル相当のソラナ盗難事件、北朝鮮のラザルス・グループが関与か

ソラナネットワーク最大の分散型永久先物取引所であるDrift Protocolは、ある朝だけで総ロック済み価値（TVL）が約5億5000万ドルから2億5000万ドル未満へと急落し、現在は2億3200万ドルとなっていることを確認した後、この攻撃を認めました。Bitcoin.com Newsがこの問題を最初に報じました。 その後数時間のうちにDRIFTトークンは最大37～42％下落し、0.04～0.05ドル付近で底を打ちました。

報道によると、この攻撃はコードのバグではなく、Tornado Cashからの引き出しから始まった。3月11日、攻撃者はイーサリアムベースのプライバシープロトコルからETHを引き出し、その資金を使って3月12日にcarbonvoteトークン（CVT）をデプロイした。ブロックチェーンアナリストは、デプロイのタイムスタンプが平壌時間の午前9時頃と一致していることに気づき、この詳細が直ちに不審な点として浮上した。

複数の報告によると、その後の3週間にわたり、攻撃者はRaydium分散型取引所（DEX）にCVTの最小限の流動性を供給し、ウォッシュトレードを利用して価格を1.00ドル近辺に維持していました。Driftのオラクルはその価格を正当なものとして認識しました。攻撃者は、監視しているあらゆる自動化システムに対して本物に見える偽の担保を構築していたのです。

Driftチームは「本日早朝、悪意ある攻撃者が耐久性のあるノンス（durable nonces）を用いた新たな攻撃手法を通じてDrift Protocolに不正アクセスし、その結果、Driftのセキュリティ評議会の管理権限が急速に乗っ取られました」と記した。同プロジェクトのXアカウントは次のように付け加えた：

「これは極めて高度な作戦であり、実行を遅らせるためにトランザクションを事前署名する『デュラブル・ノンス』アカウントの使用を含め、数週間にわたる準備と段階的な実行が行われたものと見られます。」

表向きには3月23日から3月30日にかけて、攻撃者は「ヒューマンレイヤー」へと移行しました。攻撃者はSolanaの正規機能である「耐久性のあるノンス（durable nonces）」を利用し、Driftのセキュリティ評議会のマルチシグメンバーに対し、一見すると日常的なトランザクションへの事前署名を行わせたとされています。それらの署名は事前承認されたアクセスキーとなり、攻撃者が準備を整えるまで保留されていました。

この隙は3月27日、Driftがセキュリティ評議会の署名要件を「5人中2人」に変更し、タイムロック機能を完全に削除したことで生じました。通常、タイムロックは管理上のアクションに24～72時間の遅延を課し、コミュニティが不審な動きを検知して取り消す時間を確保します。これがなければ、攻撃者は即時実行権限を持つことになります。タイムロックが解除された瞬間、事前署名されたトランザクションは有効になりました。

4月1日、攻撃者はこれらのトランザクションを実行し、CVTを有効な担保として登録したうえで引き出し限度額を引き上げ、数億相当のCVTトークンを預け入れました。これに対し、Driftのリスク管理エンジンは実物資産を発行しました。プロトコルは数百万相当のJLPトークン、数百万相当のUSDC、数百万相当のSOL、および少量のラップドビットコインとイーサリアムを引き渡しました。31件の引き出しトランザクションは約12分で処理されました。

攻撃者はJupiterを使用して盗んだトークンをUSDCに交換し、イーサリアムへブリッジした後に数万ETHに換金しました。一部の資金はHyperliquidを経由し、一部は直接Binanceへ移動しました。4月3日には、Driftがイーサリアムアドレスからハッカーが管理する4つのウォレットへオンチェーンメッセージを送信しました。メディアcryptonomist.chの報道によると、そのメッセージには次のように書かれていました：

「話し合う準備はできている」

セキュリティ企業のEllipticとTRM Labsは、Tornado Cashの起源、平壌時間のデプロイ署名、ソーシャルエンジニアリングへの重点、ハッキング後の資金洗浄の速さを根拠に、この攻撃を北朝鮮関連の脅威アクターによるものと断定しています。ラザルス・グループは、2022年のRoninブリッジハッキングでも同様の忍耐強さと人間を標的としたアプローチを用いていました。 米国政府はこれらの窃盗事件を北朝鮮の兵器開発資金調達と結びつけており、Ellipticは2026年第1四半期だけで3億ドル以上が盗まれたことを追跡している。この被害は20以上のプロトコルに波及した。Prime Numbers Fiは数百万ドルの損失を報告した。Carrot Protocolは、TVLの50％が影響を受けたため、ミントおよび償還機能を一時停止した。 Pyra Protocolは出金を完全に停止し、すべてのユーザー資金が利用不能となりました。Piggybankは10万6,000ドルを失いましたが、自社のチーム資金からユーザーに補償を行いました。 ソラナ（Solana）のトレジャリー戦略を展開するナスダック上場企業DeFi Development Corp.は4月1日、Driftへのエクスポージャーがないことを確認しました。同社のリスク管理フレームワークではこのプロトコルが完全に除外されており、この事実は同社が意図していた以上に注目を集める結果となりました。

Driftのインシデントは、業界の大半がすでに認識していたものの、十分に適用されていなかった一つの明確な教訓をもたらした。すなわち、タイムロックはオプションではないということだ。3月27日にこの唯一の安全策が撤廃されたことで、数週間にわたる複雑な攻撃が、わずか12分間の資金流出へと変貌した。遅延メカニズムのないプロトコルガバナンスは、扉を開け放ったままのガバナンスに等しい。

このDeFi攻撃後の48時間は、Driftがユーザーの信頼を維持し、回復への道筋を示す上で極めて重要であると評されました。4月3日時点で、包括的な補償計画は発表されていません。

FAQ 🔎

• Drift Protocolに何が起きたのか？ 2026年4月1日、攻撃者は偽の担保と事前署名済みの管理トランザクションを利用し、12分間でプロトコルのコア・ヴォルトを空にし、Drift Protocolから2億8600万ドルを流出させました。
• Drift Protocolのハッキングの責任は誰にあるのですか？EllipticやTRM Labsなどのセキュリティ企業は、資金洗浄のパターンやLazarus Groupの手口と一致するオンチェーンのタイムスタンプを根拠に、この攻撃を北朝鮮（DPRK）と関連する脅威アクターによるものと断定しています。
• Drift Protocolに預けている資金は安全ですか？ Driftは攻撃を受けてすべての入出金を停止しました。2026年4月3日現在、PyraやCarrotなどの影響を受けたプロトコルのユーザーは、依然として資金にアクセスできません。
• Solana DeFiにおける「デュラブル・ノンセ攻撃」とは何ですか？ デュラブル・ノンセ攻撃とは、Solanaの正当な機能を用いて、一見通常の取引のように見えるトランザクションを事前に署名し、攻撃者が実行を決断するまで有効な承認キーとして保持する攻撃手法です。