北朝鮮の5億7700万ドルのDeFi攻撃:18日間でドリフトとケルプがハッキングされる

北朝鮮政府に関連するハッカー集団が、わずか1ヶ月の間に歴史上最大規模となる2件の分散型金融（DeFi）エクスプロイトを実行し、Drift ProtocolとKelp DAOから合わせて5億7,700万ドル以上を流出させました。ブロックチェーン分析企業、クロスチェーン・インフラプロバイダー、および独立したセキュリティ研究者は、これら両方の攻撃について（信頼度の差はあるものの）、北朝鮮の国家機関の下で活動するハッキング部隊によるものと断定しており、アナリストはこれをDeFiインフラに対するエスカレートした組織的なキャンペーンであると説明しています。

Drift Protocolのエクスプロイト：6ヶ月に及ぶ潜入

2026年4月1日、攻撃者はSolana最大の分散型無期限先物取引所であるDrift Protocolから約2億8,500万ドルを流出させました。これは、現時点で今年最大のDeFiハッキング事件となり、Solanaの歴史においても2022年のWormholeブリッジでの3億2,600万ドルのハッキングに次ぐ、2番目に大きなエクスプロイトとなりました。 Driftのポストモーテム（事後分析報告書）はこの攻撃を「6ヶ月かけて準備されたもの」と表現し、UNC4736という北朝鮮の国家主導の脅威主体（AppleJeus、Citrine Sleet、Gleaming Piscesとしても追跡されている）によるものであると、中程度の信頼度で推定しています。このグループは、少なくとも2018年から暗号資産セクターを標的にしてきた記録が残っています。 攻撃ベクトルはスマートコントラクトのバグではありませんでした。その代わり、ソーシャルエンジニアリング、ガバナンス操作、および専用に作成された偽トークンを組み合わせた手法がとられました。

• 2025年12月から2026年1月の間に、クオンツ・トレーディング企業を装った工作員がDriftのエコシステム・ボルト（Ecosystem Vault）にオンボーディングし、戦略文書を提出し、信頼を築くために100万ドル以上の自己資金を入金しました。
• 攻撃者はCarbonVote（CVT）という架空のトークンを作成し、最小限の流動性と偽の取引ボリュームを与えた上で、Driftのオラクルを操作してこれを有効な担保として扱わせました。
• 3月23日から30日の間に、攻撃者はSolanaの「durable nonce」機能を利用して悪意のあるトランザクションに事前署名させることでDriftのセキュリティ評議会メンバーを欺き、5つのうち2つのマルチシグ承認を取得しました。これにより、実行日まで認可を休止状態で維持することが可能になりました。
• 4月1日にトリガーが引かれると、ボルトは約12分で空になり、盗まれた資金のほとんどは数時間以内にEthereumへブリッジされました。
• エクスプロイト後、DRIFTトークンは40%以上下落し、プロトコルの預かり資産（TVL）は約5億5,000万ドルから2億5,000万ドル未満に急落しました。Driftに依存関係を持つ12のSolanaプロトコルが運用を停止しました。

Kelp DAOのエクスプロイト：大規模なインフラ汚染

4月18日、EigenLayerを通じてユーザーのETHをルーティングするリキッド・リステーキング・プロトコルであるKelp DAOが、2億9,200万ドルのエクスプロイト被害に遭いました。これは北朝鮮が支援するLazarus Group、特にそのサブユニットであるTraderTraitorによる犯行であることが確認されています。これにより、Driftを抜いて2026年で単一として最大のDeFiエクスプロイトとなりました。 攻撃者は、LayerZeroの検証者がクロスチェーン・トランザクションを確認するために依存していた2つのRPCノードを侵害し、ノードのソフトウェアを虚偽のデータを報告する悪意のあるバージョンに置き換えました。その後、残りの正常なノードに対して分散型サービス拒否（DDoS）攻撃を仕掛け、侵害されたエンドポイントへのフェイルオーバーを強制しました。これにより、LayerZeroの検証者を欺いて不正なクロスチェーン・トランザクションを承認させ、116,500 rsETHを攻撃者に放出させました。 LayerZeroはこの侵害の原因の一部がKelp独自のセキュリティ設定にあるとしています。同プロトコルは「1-of-1」の検証者設定で運用されており、rsETHブリッジとのメッセージを検証する唯一の主体がLayerZero Labsであったためです。これはLayerZeroが以前から警告していた設定でした。 この影響はDeFiセクター全体に急速に拡大しました。

• 4月18日のエクスプロイトにより、潜在的な不良債権への懸念からAaveから100億ドルの資金流出が発生しました。
• 攻撃後24時間で、DeFi全体の預かり資産（TVL）は約7%減少し、約995億ドルから863億ドルに低下しました。
• Ethena、ether.fi、Tron DAO、Curve Financeを含む複数のDeFiチームが、これを受けてLayerZeroのオムニチェーン・ファンジブル・トークン・ブリッジを停止しました。

変化し、エスカレートする脅威

同一の北朝鮮ユニットが、18日間で構造の異なる2つの攻撃ベクトル（Driftでのガバナンス署名者へのソーシャルエンジニアリングと、KelpでのインフラRPCの汚染）を通じて、DeFiから5億7,700万ドル以上を流出させたことになります。 アナリストは、Kelpのエクスプロイトが、北朝鮮のLazarus Groupが単発のハッキングを超えて進化していることを示していると指摘しています。戦術をソーシャルエンジニアリングから暗号資産インフラの構造的弱点の悪用へと急速にシフトさせており、単発の事件ではなく、国家主導の持続的なキャンペーンであることが示唆されています。 両方の事件が北朝鮮（DPRK）の犯行であるとの断定が維持されれば、2026年における同政権の確定した暗号資産窃盗総額は6億ドルを超えることになります。米国政府は以前から、これらの収益がピョンヤンの兵器プログラムに関連していると指摘してきました。 LayerZeroはその後、「1-of-1」の検証者設定で運用されているプロジェクトに対してはメッセージの署名を一切行わないと発表し、マルチDVN設定への移行を加速させています。セキュリティ研究者やプロトコル開発者は、DeFi業界全体に対し、ガバナンスのタイムロック、オラクルの多層防御、クロスチェーン検証の冗長性を、オプションの設定ではなく「交渉の余地のない基本要件」として扱うよう強く求めています。

Coinplurk.comによって公開