アリエル・ギブナー弁護士によると、ソラナベースの分散型金融(DeFi)プラットフォーム「Drift Protocol(ドリフト・プロトコル)」のハッキングは、Driftチームが標準的な運用セキュリティ手順に従っていれば防げた可能性があり、「民事過失」を構成する可能性があるという。
「平易な言葉で言えば、民事過失とは、彼らが管理していた資金を保護するという基本的な義務を怠ったことを意味する」と、ギブナー氏はDriftチームが提供した事後報告の更新内容と、水曜日に発生した2億8,000万ドルの不正流出への対応について述べた。
Driftチームは、署名キーを開発業務には一切使用しない別の「エアギャップ(オフライン)」システムで保管することや、業界カンファレンスで知り合ったブロックチェーン開発者に対してデューデリジェンス(適正評価)を行うといった「基本的」なセキュリティ手順を怠っていた。
ギブナー氏は「真剣なプロジェクトならどこでも知っていることだが、Driftはそれに従わなかった。仮想通貨業界にはハッカー、特に北朝鮮の国家チームが蔓延していることを彼らは知っていたはずだ」と指摘し、さらにこう続けた。
「それなのに、彼らのチームは何ヶ月もTelegramでチャットをし、カンファレンスで会った見知らぬ人物と面会し、不審なコードリポジトリを開き、マルチシグ(多重署名)管理に紐付けられたデバイスに偽のアプリをダウンロードしていた」
同氏によれば、Drift Protocolに対する集団訴訟の広告がすでに回り始めているという。コインテレグラフはDriftチームにコメントを求めたが、公開時までに回答は得られなかった。
今回の事件は、悪意のあるアクターによるソーシャルエンジニアリングやプロジェクトへの潜入が、仮想通貨開発者にとって主要な攻撃ベクトルであり、ユーザー資金を流出させ、侵害されたプラットフォームに対する顧客の信頼を恒久的に損なう可能性があることを改めて思い知らせるものとなった。
Drift Protocol、攻撃には「数ヶ月」の計画を要したと発表
Drift Protocolチームは土曜日に更新情報を公開し、不正流出がいかにして発生したかの概要を説明するとともに、攻撃者が実行の6ヶ月前から計画を立てていたと主張した。
脅威主体は、2025年10月の「主要な」仮想通貨業界カンファレンスで初めてDriftチームに接触し、プロトコルの統合や協力に関心を示した。その後6ヶ月間にわたってDriftの開発チームとの信頼関係を築き、十分な信頼を得た段階で悪意のあるリンクを送り始め、開発者のマシンを侵害するマルウェアを埋め込んだという。
Driftチームによると、北朝鮮の国家関連ハッカーのために働いている疑いがあり、Driftの開発者に物理的に接触したこれらの人物は、北朝鮮国籍ではなかった。
Driftは「中〜高い確信」を持って、今回の不正流出が2024年10月のRadiant Capital(ラディアント・キャピタル)のハッキングの背後にいたのと同じアクターによって実行されたと述べている。
2024年12月、Radiant Capitalはこの不正流出について、元請負業者を装った北朝鮮系ハッカーからTelegram経由で送られたマルウェアによって実行されたと発表していた。
