エリプティック、2億8600万ドル規模のドリフト・プロトコル不正利用を北朝鮮のハッカーに関連付ける

ブロックチェーン分析企業のエリプティック（Elliptic）は、2026年4月2日に、ソラナ（Solana）ベースのドリフト・プロトコル（Drift Protocol）に対する2億8600万ドル（$286 million）のエクスプロイトは、北朝鮮の国家支援によるDPRKハッカー集団による関与を示す複数の指標を含んでいると報告し、エリプティックが今年追跡したこの種の攻撃としては18件目に当たるとした。

4月1日のエクスプロイトは、これまでで最大の2026年のDeFiハックであり、ドリフトの総ロック価値（TVL）を約5億5000万ドル（$550 million）から2億5000万ドル未満（under $250 million）へと崩壊させた。オンチェーン上の振る舞い、マネーロンダリングの手口、ネットワークレベルのシグナルが、過去の国家関連の作戦と一致するものだった。

Elliptic、入念なオンチェーン行動とクロスチェーンのマネーロンダリング・パターンを特定

エリプティックの分析は、「事前に計画され、慎重に段取りされた」ように見える活動を示している。主要イベントの前に、初期のテスト取引や事前に用意されたウォレットがあった。攻撃者のウォレットはエクスプロイトの約8日前に作成され、その期間中にドリフトの金庫（vault）から小額のテスト送金を受けていたことから、先行計画が示唆される。

（出所：Elliptic Investigator）

実行後、資金は急速に集約され、スワップされ、チェーン間でブリッジされ、より流動性の高い資産へと転換された。これは、起源を隠しつつコントロールを維持するために設計された、構造化され再現可能なロンダリング・フローを反映している。攻撃者は3つの中核となる金庫を出し切った。JLP Delta Neutral、SOL Super Staking、BTC Super Stakingの金庫である。最大の単独送金は、盗難当時の価値が約1億5500万ドル（$155 million）であった、約4170万（41.7 million）JLPトークンを含むものだった。さらに盗まれた資産には、USDC、SOL、cbBTC、wBTC、流動性ステーキング・トークンが含まれている。

攻撃が始まってから1時間以内に、攻撃者は複数のプロトコル金庫から資産を引き出すことで、ドリフトの流動性の大半を体系的に出し尽くした。ブロックチェーン・セキュリティ企業のペックシールド（PeckShield）によれば、当初の原因は、プロトコルの管理者（administrator）の秘密鍵が侵害されたことのようだ。これにより攻撃者は特権的なアクセスを得て、引き出しの開始や管理コントロールの変更を行えた。

ソラナのアカウントモデルが、複数資産エクスプロイトの調査を複雑にする

エリプティックは、ソラナのアカウントモデルが調査担当者にとって中核的な課題を提示していると指摘している。各資産が別々のトークンアカウントに保有されるため、単一の行為者に紐づく活動が複数のアドレスに分断されたように見えることがある。攻撃者は複数の金庫にまたがって15種類を超えるトークンを出し切っており、つまり攻撃者のJLP、USDC、SOL、cbBTC、その他の盗難資産はそれぞれ、別個のオンチェーン・アドレスに存在している。

これらのアドレスを互いに無関係として扱う分析提供者は、攻撃者の活動の断片を見ても、全体像は見えない。エリプティックのクラスタリング手法は、トークンアカウントを単一の主体へと結び付けるため、どのアドレスがスクリーニングされるかに関係なく、露出（曝露）を特定できる。今回の事例はまた、マネーロンダリングが本質的にクロスチェーンになっていることも強調している。資金はソラナからイーサリアム（Ethereum）へ、そしてその先へと移動しており、包括的なクロスチェーン・トレーシング能力が必要になる。

DPRK関連の暗号窃盗は、エリプティックが2026年の窃取額$300 millionを追跡するにつれエスカレート

確認されれば、この事件はエリプティックが2026年に追跡したDPRK関連行為として18件目となり、これまでに盗まれた額は3億ドル（$300 million）超となる。DPRK関連の行為者は、近年において暗号資産で65億ドル（$6.5 billion）超を盗んだとみられている。米国政府は、これらの窃盗を北朝鮮の大量破壊兵器計画の資金調達に結び付けている。

2025年12月、チェーンアナリシス（Chainalysis）のレポートにより、DPRKハッカーが2025年に過去最高の20億ドル（$2 billion）分の暗号を盗んだことが明らかになった。これには14億ドル（$1.4 billion）のバイビット（Bybit）侵害が含まれており、前年から51%の増加を示している。米財務省は先月、北朝鮮が盗んだ資産を兵器計画の資金に充てていることを改めて強調した。

ドリフトのエクスプロイトはまた、暗号エコシステムを狙うDPRK関連活動のより広範なエスカレーションのさなかでも起きている。最近のaxios npmパッケージへのサプライチェーン侵害などがそれに当たり、GoogleはこれをDPRKの脅威アクターUNC1069によるものだとした。

ドリフト・プロトコルはX上でエクスプロイトを確認し、「進行中の攻撃（active attack）」が発生していること、入出金（deposit and withdrawals）が停止されていることを述べた。チームは、この事案を封じ込めるために複数のセキュリティ企業、クロスチェーン・ブリッジ、取引所と連携している。ドリフトのトークンは、ハック以降40%超下落し、約0.06ドル（$0.06）になっている。

よくある質問（FAQ）

ドリフト・プロトコルのエクスプロイトでどれほど盗まれ、誰が疑われていますか？

2026年4月1日に、ドリフト・プロトコルから約2億8600万ドル（$286 million）が盗まれた。エリプティックは、入念なオンチェーン行動や、過去の国家関連の作戦と整合するロンダリング・パターンなど、北朝鮮の国家支援によるDPRKハッカー集団の関与を示す複数の指標を特定した。

何が the Drift exploit 特に追跡を難しくしましたか？

攻撃者は複数の金庫にまたがって15種類を超えるトークンを出し切った。ソラナのアカウントモデルでは、単一の主体が保有する各資産タイプごとに別々のトークンアカウントが作られる。つまり、攻撃者のさまざまな盗難資産はそれぞれ、別個のオンチェーン・アドレスにあるということだ。これらのアドレスをクラスタリングしなければ、調査担当者は攻撃の全体像ではなく断片を見ることになる。

この事件は、より広範なDPRKのハッキング傾向にどう当てはまりますか？

確認されれば、これはエリプティックが2026年に追跡したDPRK関連行為として18件目となり、これまでに盗まれた額は3億ドル（$300 million）超となる。DPRK関連の行為者は、近年において暗号資産で65億ドル（$6.5 billion）超を盗んだとみられており、米国政府はこれらの窃盗を同国の大量破壊兵器計画の資金調達に結び付けている。