ハッカーらがSolanaブロックチェーン上の主要な分散型パーペチュアル先物取引所であるDrift Protocolから約2億8600万ドルを盗んだ。セキュリティ研究者らはこれが北朝鮮関連のサイバー攻撃である可能性があると考えている。
インシデントは2026年4月1日に発生し、すでに今年最大の分散型金融(DeFi)ハッキングと呼ばれている。
Drift Protocolは「アクティブな攻撃」を受けていることをすぐに確認し、さらなる被害を制限するため、入出金を停止した。このエクスプロイトは、プラットフォームの総ロック額(TVL)に急激な低下をもたらし、約5億5000万ドルから数時間以内に2億5000万ドル以下に下落した。
ブロックチェーン分析企業Ellipticは、攻撃を朝鮮民主主義人民共和国(DPRK)に関連する行為者に結びつける複数の指標を特定した。オンチェーン行動、資金洗浄技術、運用パターンの類似性を理由として挙げている。
管理者キーの侵害の可能性
ブロックチェーンセキュリティ企業PeckShieldの初期分析では、侵害はDrift Protocolの管理者の秘密鍵の侵害によって引き起こされた可能性が高いことを示唆している。
これにより、攻撃者は昇格された特権を獲得し、プロトコルボールトから直接資金を引き出し、重要なシステムコントロールを変更することができたであろう。
攻撃者は3つの主要なボールトをターゲットにした:
- JLPデルタ中立ボールト
- SOLスーパーステーキングボールト
- BTCスーパーステーキングボールト
最大の取引の1つには、4170万のJLPトークンの盗難が含まれ、これはおよそ1億5500万ドルの価値があった。盗まれた追加資産には、USDC、SOL、ラップドビットコイン(wBTC)、cbBTC、および様々なリキッドステーキングトークンが含まれていた。
攻撃者はエクスプロイトを高い効率で実行し、1時間以内にDriftのほぼすべての流動性を排出した。オンチェーンデータは、攻撃者が事前に準備していたことを示しており、攻撃の約8日前にウォレットを作成し、Driftボールトからの小さなテストトランザクションを実施した。
盗難の後、攻撃者はSolanaベースの分散型取引所(DEX)アグリゲーターを使用して、複数の盗んだ資産をUSDCにスワップした。
これらの資金はその後、イーサリアムブロックチェーンにブリッジされ、トランザクション証跡を曖昧にするために一般的に使用されるアプローチであるETHに変換された。
Ellipticは、これらの資金洗浄技術は以前のDPRK関連の暗号資産詐欺で使用されたものと密接に似ていると指摘した。
増加するDPRK暗号資産詐欺
確認されれば、これは2026年だけで追跡されている18番目のDPRK関連の暗号資産詐欺となり、今年の総損失は3億ドルを超えている。
北朝鮮の脅威行為者は近年、暗号資産で60億ドル以上を盗んだと考えられており、しばしばこれらの資金を国家支援プログラムをサポートするために使用している。
この攻撃は、暗号資産エコシステムをターゲットにしたDPRKサイバー活動の広範な急増に続くものであり、サプライチェーンの侵害やオープンソースソフトウェアプロジェクトへの攻撃が含まれる。
攻撃の複雑さは、各資産が個別のトークンアカウントに保存されるSolanaのアーキテクチャによってさらに増幅される。
これは、盗まれた資金が複数のアドレスに分散していることを意味し、高度な分析なしに検出と追跡をより困難にしている。
Ellipticは、そのクラスタリング技術が関連するトークンアカウントをリンクして、資産とブロックチェーン全体の攻撃者活動の完全なビューを提供すると述べた。
同社は、取引所と金融プラットフォームがリアルタイムで違法なトランザクションをブロックするのに役立つように、関連するアドレスにフラグを立てた。
調査は進行中であり、セキュリティチームは盗まれた資金のチェーン間での移動の監視を続けている。
翻訳元: https://gbhackers.com/north-korea-linked-crypto-heist/
