Drift Protocol $280M侵害:数ヶ月にわたる計画的準備

分散型取引所であるDrift Protocolは、今回の侵害はランダムな事件ではなく、組織化された脅威アクターのネットワークによって実行された、6か月間にわたる高度に調整された作戦であると述べています。同社の予備評価では、この攻撃を組織的な支援、多額のリソース、数か月にわたる意図的な準備を必要としたインテリジェンス型のキャンペーンと説明しています。外部推定では、損失額は約2億8,000万ドルとされています。

Driftは、計画が2025年10月に遡ることを突き止めました。当時、攻撃者は量的トレーディング企業を装い、主要な暗号資産カンファレンスでDriftの貢献者に接近し、プロトコルとの統合に関心を示しました。その後6か月間、このグループは複数の業界イベントでDriftの貢献者と直接会いました。Driftは、このアプローチを標的型と説明しています。グループのメンバーは技術的に流暢で、検証可能な専門的背景を持ち、Driftの運営方法に精通していました。攻撃者は対面での会議を利用して信頼を構築し、その後、共有されたリンクベースのペイロードやツールを使用して貢献者のデバイスを侵害し、痕跡を消去する前にエクスプロイトを可能にしました。

重要なポイント

• Drift Protocolの侵害は、外部損失推定が2億8,000万ドル近くに達する、6か月間にわたる調整された作戦として説明されています。
• 調査は、2025年10月頃に始まった、Drift貢献者を対象とした対面でのカンファレンス時代の勧誘活動を指摘しています。
• 攻撃者は、悪意のあるリンクやツールを介して侵害されたデバイスを通じてアクセスを取得し、実行後に活動の痕跡をすべて削除しました。
• Driftは、2024年10月のRadiant Capitalハッキングとの関連の可能性を主張しており、同じアクターが関与している可能性を示唆していますが、帰属は依然として微妙です。
• Radiant Capitalは、2024年の事件を、元請負業者を装った北朝鮮と連携したハッカーからTelegramを介して配信されたマルウェアとして説明しました。Driftは、対面で見られた個人が北朝鮮国民ではなかったと注意を促しています。
• このケースは、暗号資産カンファレンスにおける継続的なセキュリティリスクと、外部の協力者と関わる際の警戒の必要性を強調しています。

展開するタイムライン:カンファレンスでの関心からエクスプロイトまで

Driftの説明によると、攻撃者は著名な業界の集まりで関与を開始し、明白な攻撃者ではなく潜在的な統合パートナーとして自らを提示しました。その後数か月間、グループはいくつかのイベントでDriftの貢献者と会い、慎重に関係を構築し、Driftの運営に関する信頼できる技術的理解を示しました。この段階は、攻撃者が内部チャネルや信頼できる通信にアクセスするのを助け、それがエクスプロイト自体の導管となりました。

Driftによると、作戦は意図的に構造化されており、攻撃者が長期にわたるキャンペーンを維持することを可能にする組織的な支援とリソースがありました。攻撃者は最終的に、Drift貢献者の侵害されたデバイスを通じて悪意のあるツールとリンクを展開し、侵害を可能にしました。エクスプロイト後、侵入者はデジタルフットプリントを消去したと報告されており、Driftとそのパートナーのインシデント対応およびフォレンジック作業を複雑にしました。

この侵害は、暗号資産分野の参加者にとって厳粛な注意喚起となります。カンファレンスでの対面でのやり取りでさえ、しばしばネットワーキングの機会と見なされていますが、洗練された資金力のある脅威アクターのベクターとして活用される可能性があります。このダイナミクスは、厳格なデバイス衛生、多層セキュリティ慣行、および信頼の基盤がインターオペラビリティと密接に織り込まれているセクターにおける慎重な第三者との協力の重要性を強調しています。

Radiant Capitalとのリンク:潜在的なつながり、重要な注意事項付き

Driftは、2024年10月のRadiant Capitalハッキングの背後にある同じグループがDrift事件に関連している可能性について、中程度から中程度以上の確信を持っていると述べました。Radiant Capitalの侵害は2024年12月に開示され、同社は侵入を、元請負業者を装った北朝鮮と連携したアクターによってTelegramを介して配信されたマルウェアとして説明しました。その場合、開発者間でフィードバックのために共有されたZIPファイルが、侵入を可能にしたマルウェアを配信したとされています。

Driftは、カンファレンスで対面で現れた個人が北朝鮮国民ではなかったことを強調しました。同社はまた、DPRK関連の脅威アクターが第三者の仲介者を使用して対面での関係構築を行うことが知られており、これは他のケースでも観察されているパターンであると指摘しました。この関連性は継続的な調査の問題であり、複雑なサイバーインシデントにおける帰属は、新しい証拠が明らかになるにつれてしばしば進化します。

文脈として、Radiant Capitalの事件は、ソーシャルエンジニアリングとリモートペイロードが対面での信頼構築と収束して、洗練されたシステムでさえ侵害する可能性を浮き彫りにしました。これらの物語の収束—カンファレンスベースの勧誘、侵害されたデバイスを介して配信されたマルウェア、以前の注目度の高いハッキングへのリンク—は、調査員がDriftの侵害を取り巻く一連の出来事の全体像を組み立てる際に精査されるでしょう。

継続的な調査と業界への影響

Driftは、4月1日の攻撃中に何が起こったかの全体像を組み立てるために、法執行機関や他の業界参加者と協力していると述べました。同社の開示は、脅威インテリジェンス、インシデント対応、侵害後のフォレンジックにおける業界横断的な協力の継続的な必要性を強調しています。Driftは侵害のすべての技術的詳細を開示していませんが、長期にわたる調整された努力への強調は、日和見的な侵入を超える洗練度のレベルを示しています。

DeFi分野の投資家と構築者にとって、Drift事件はいくつかの実用的な教訓を強化します。第一に、攻撃者が対面での戦術と技術的エクスプロイトを組み合わせる場合、長年の貢献者や信頼できる関係でさえ操作の影響を受けません。第二に、洗練されたキャンペーンにおける帰属は曖昧である可能性があり、性急な結論ではなく、慎重な証拠に基づくレビューが必要です。最後に、このエピソードは、侵害された認証情報、デバイスレベルの足がかり、エクスプロイト後の痕跡を含む多段階の侵入を検出し封じ込めることができる堅牢なセキュリティアーキテクチャの継続的な必要性を強調しています。

調査が展開するにつれて、読者は攻撃者の方法、新しい侵害の指標、およびDriftや他のプロトコルが貢献者のオンボーディング、パートナー統合、インシデント対応プレイブックにアプローチする方法におけるプログラム的なシフトに関する更新に注目する必要があります。数か月にわたるカンファレンスベースのアプローチと以前の注目度の高い侵害との潜在的なリンクの収束は、分散型プラットフォームがスケールしエコシステム全体で協力する際に直面する、より広範なリスク環境を強調しています。

不確実なままなのは、Driftのユーザーと流動性に対する侵害の影響の全範囲、プラットフォームが運用上どの程度迅速に回復するか、および追加の帰属ケースがDeFi分野における脅威アクターパターンの理解を再形成するかどうかです。今後数週間は、オープンな協力と国境を越えたパートナーシップに依存してイノベーションを行う業界において、透明性とセキュリティ態勢の両方にとって極めて重要です。

今後、市場参加者は、アクター、ツール、およびDeFiガバナンス、リスク管理、カンファレンスベースの協力慣行に対するより広範な影響に関する新しい発見について、Driftおよび関連するセキュリティ研究者からの更新を監視したいと考えるでしょう。

この記事は、Crypto Breaking Newsに「Drift Protocol $280M Breach: Months of Deliberate Preparation」として最初に公開されました—暗号資産ニュース、Bitcoinニュース、ブロックチェーンアップデートのための信頼できる情報源です。