Drift Protocol(DRIFT)は4月5日、詳細なインシデント報告を公開した。4月1日の2億8500万ドル規模の不正流出は、北朝鮮の国家支援グループによる6か月間に及ぶ諜報活動の結果であった。
開示内容によると、典型的なフィッシング詐欺やリクルーター詐取の域を大きく超えるレベルのソーシャルエンジニアリングが行われた。対面での会合、実際の資金投入、数か月にわたる信頼構築などがあった。
長期計画で仕掛けた偽のトレーディング会社
Driftによれば、あるグループが量的取引企業を名乗り、最初に2025年秋に大規模な暗号資産カンファレンスで貢献者に接触した。
それ以降の数か月間、このグループは複数の国で様々なイベントに現れ、作業セッションを持ち、ボールト統合について継続的にTelegramで会話を続けた。
2025年12月から2026年1月にかけて、このグループはDrift上でEcosystem Vaultの導入を完了し、100万ドル超の資本をデポジット、詳細なプロダクトディスカッションにも参加した。
3月には、Driftの貢献者が複数回にわたりこれらの人物と対面した。
「…最も危険なハッカーは一見ハッカーには見えない」と、暗号資産開発者Gautham氏がコメント。
Webセキュリティ専門家ですらこの事態を懸念している。Tay研究者は、当初典型的なリクルーター詐欺だと想定していたが、事案の深さを知りさらに衝撃を受けたという。
デバイスが侵害された経緯
Driftは、攻撃経路として3通りを特定した:
- 1人の貢献者が、グループが共有したボールトフロントエンド用リポジトリをクローンした。
- 2人目が、ウォレット製品として提示されたTestFlightアプリをダウンロードした。
- リポジトリ経由の経路について、Driftは2025年末以降セキュリティ研究者が警告してきたVSCodeおよびCursorの既知脆弱性を指摘した。
この脆弱性により、ユーザーの操作なしにエディターでファイルまたはディレクトリを開いた瞬間、任意のコードが静かに実行されていた。
4月1日の流出の後、攻撃者はTelegramの全チャット履歴や悪意あるソフトウェアを消去した。Driftはその後、残されたプロトコル機能を凍結し、不正アクセスされたウォレットをマルチシグから除去した。
SEALS 911チームは、中程度から高い確度で、2024年10月のRadiant Capitalハッキングも同一の脅威グループによる犯行と判断した。MandiantはUNC4736によるものと特定している。
チェーン上の資金移動と両事件の手口の類似性からも両者のつながりが裏付けられる。
業界がセキュリティ再構築を要請
著名なソラナ開発者アルマーニ・フェランテ氏は、あらゆる暗号資産チームに対し成長施策を一時停止し、完全なセキュリティ監査を呼びかけた。
「すべての暗号資産チームは、この機会にスピードを緩め、安全性を最優先すべきだ。可能なら丸ごと1チームを割くこと…攻撃されたら成長などできない」とフェランテ氏。
Driftは、今回対面した人物らが北朝鮮国籍ではなかった点を指摘した。ここまで高度なDPRK攻撃グループは、対面用に第三者仲介人を起用することが知られている。
Driftがデバイスのフォレンジック調査を依頼しているMandiantは、現時点で正式な攻撃元の特定は行っていない。
今回の開示は、業界全体への警鐘となる。Driftは、チームに認証権限の監査や、マルチシグ関連機器すべてを潜在的攻撃対象と捉える重要性、そして同様の事例が疑われる場合はSEAL 911に連絡するよう促している。
