分散型取引所のDriftが攻撃を受け、少なくとも2億7000万ドル(約430億円)の仮想通貨が盗み出されたことが分かりました。攻撃者は6カ月以上にわたる綿密な作戦を遂行していたと伝えられています。





'We Are Ready to Speak': Drift Beckons North Korea-Linked Hackers Following $285M Exploit - Decrypt

https://decrypt.co/363260/we-are-ready-to-speak-drift-beckons-north-korea-linked-hackers-following-285m-exploit

Drift Protocol Warns of Potential Cybersecurity Exploit

https://cointelegraph.com/news/drift-protocol-pause-deposit-unusual-activity

今回の攻撃は「UNC4736」や「AppleJeus」などの名前で知られるハッカー集団によってなされたものだと考えられています。このグループは北朝鮮の国家支援を受けていると考えられていて、2024年に投資会社のRadiant Capitalへ攻撃を仕掛けた犯人だとも見なされています。

2025年秋頃、Driftの開発者が大規模な仮想通貨カンファレンスに参加していたところ、Driftと協力したいという取引会社から接触を受けたとのこと。その会社の従業員は技術的に成熟していて、確かな職歴を持ち、Driftの運用方法にも精通していました。初回の会合でTelegramグループが作成され、取引戦略や開発ツールを統合する可能性についての話し合いが始まったそうです。

2025年12月から2026年1月にかけて、取引会社を名乗る人々はDrift上で仮想通貨の保管庫であるVaultの統合を呼びかけ、自身の資金で100万ドル(約160億円)以上を入金しました。統合の話はその後も続き、Driftの開発者が取引会社の人々と対面で会うなど関係は持続。合計6カ月間にわたる協力関係が築かれました。

ところが、2026年4月1日に大量の仮想通貨がDriftから盗まれるという事件が発生します。調査の結果、侵入経路が問題の取引会社である可能性が高いことが分かりました。疑わしいことに、攻撃発生直後、取引会社とのTelegramチャットグループや取引会社が提供していたソフトウェアが完全に消去されていました。



調査の結果、Driftの開発者がシステムをデプロイするという名目で取引会社から共有されたリポジトリをクローンしていたことが原因の1つであったと見なされています。これにはVSCodeおよびCursorの既知の脆弱性が関与している可能性があり、エディタでファイル、フォルダ、またはリポジトリを開くだけで、ユーザーへの通知や警告、クリックや権限ダイアログなしに任意のコードがひそかに実行される状態でした。

さらに、取引会社がウォレット製品として提示したTestFlightアプリを別の開発者がダウンロードしていたことも分かっています。TestFlightはApp Storeのセキュリティ審査を受けないままプレリリース版アプリを配布するためのプラットフォームです。

Driftは「複数の国で開催された主要なカンファレンスにおいて、攻撃者が意図的に特定のDrift開発者を探し出し、対面で接触を続けていたことが判明しています。対面で現れた人物は北朝鮮国籍ではない第三者でした。攻撃者の職歴、資格、専門的ネットワークは完璧に作られていて、数カ月かけてプロフィールを構築していたと見られます」と伝えました。



Driftは攻撃者と話し合うことを望んでいますが、専門家は「本当に北朝鮮がバックにいるなら返還を望むのは難しい」と指摘。またある弁護士は「Driftが標準的なセキュリティ運用を行っていれば防げた話であり、民事上の過失に該当する可能性がある」と見なしています。

Driftが発行する「DRIFT」トークンの価格は、攻撃発生の知らせを受けて約18%下落しました。