450億円流出のDriftハッキング、北朝鮮ハッカーによる犯行か

暗号資産（仮想通貨）ウォレット企業のLedgerは2日、ソラナ（SOL）基盤のDeFiプラットフォームDrift Protocolで起こったハッキングに関する見解を示した。

Driftでは1日、最大約2億8500万ドルの資金が流出。同プロジェクトは被害の拡大を防ぐため、直ちに入出金と取引を凍結し、事態の収拾に動いている。

約450億円の流出と攻撃の手口

Driftで盗まれた資金はハッカーが管理するウォレットに素早く移動し、一部はイーサリアム（ETH）に変換された。

Ledgerのチャールズ・ギルメットCTOによると、今回の被害はスマートコントラクトの欠陥によるものではない。プロトコルのマルチシグウォレットの仕組みが侵害されたことが主な原因だ。

攻撃者は数週間にわたって入念な偵察を行い、マルチシグ保持者のデバイスに侵入して秘密鍵を盗み出した。その後、攻撃者は出金限度額の引き上げや資産の引き出しといった悪意のあるトランザクションをオペレーターに巧みに承認させた。

ブロックチェーンセキュリティ企業のPeckShieldやEllipticも追跡調査を行っている。

シードフレーズ自体の漏洩は確認されておらず、遅延実行のための耐久性のあるノンスの使用が浮き彫りになった。

北朝鮮ハッカー関与の可能性

ギルメットCTOは、今回の攻撃手法が2025年2月に発生したバイビットのハッキング事件と同一であると指摘した。

長期間の監視や複数デバイスへのマルウェア感染、ソーシャルエンジニアリングを駆使した手口が共通している。

Ellipticは、戦術や資金の流れから北朝鮮のハッカー集団が関与している可能性が高いと分析している。

ソラナ財団のヴィブ・ノルビー氏ら専門家は、高度な運用セキュリティの失敗が原因だと述べている。マルチシグ承認における人的要素や、堅牢なエンドポイント検出の欠如が攻撃を許す要因となった。

なお、ソラナ自体のシステムに根本的な問題はないと確認されている。

ギルメットCTOは業界全体に対し、エンドポイント検出の改善やハードウェア支援による署名の導入を推奨した。また、署名者のトレーニングや異常監視、大規模な取引に対するタイムロックの必要性も訴えている。

Drift Protocolは事件後にマルチシグの仕組みを更新し、取引所や法執行機関と協力して資金の回収を目指している。