北朝鮮ハッカーがDeFiプロトコルから約420億円強奪——ガバナンス権限乗っ取りという新手口の全貌

「スマートコントラクトの脆弱性ではない」——それが今回の事件の最も恐ろしい点だ

2026年4月1日、DeFi（分散型金融）取引プラットフォームのDrift Protocolが、約2億8000万〜2億8500万ドル（約420億円）という巨額の資金を失った。攻撃者はプログラムの欠陥を突いたわけでも、シードフレーズを盗んだわけでもない。ガバナンスの仕組みそのものを悪用してプラットフォームの管理者権限を奪取した。

ブロックチェーン調査会社のEllipticとTRM Labsは、複数のオンチェーン指標をもとにこの攻撃を北朝鮮（DPRK）系ハッカーに帰属させた。Tornado Cashの使用パターン、CarbonVoteのデプロイタイミング（平壌時間09:30）、クロスチェーンブリッジの動き、そして迅速な大規模資金ロンダリングの手口が、2024年に発生したBybitハックと一致するという。

攻撃の全貌——1週間かけて仕込まれた「時限爆弾」

攻撃は3月23日〜30日にかけて周到に準備された。

ステップ1: 準備段階

• 攻撃者は「Durable Nonce Account（遅延実行可能な署名付きトランザクション）」を設定
• Drift ProtocolのSecurity Council（セキュリティ評議会）から2/5マルチシグ承認を取得
• 悪意のあるトランザクションに事前署名し、即時実行せずに「仕込んだ」状態に

ステップ2: 実行

• 4月1日、攻撃者はまず正規のトランザクションを実行（疑惑を払拭するカモフラージュ）
• 直後に事前署名済みの悪意あるトランザクションを連続実行
• 数分以内に管理者権限を自分のアドレスに移管

ステップ3: 資金流出

• 管理者権限を得た後、悪意のあるアセットを導入
• 引き出し制限を撤廃
• 貸借デポジット・ボールトデポジット・取引資金を一気に吸い上げ

Solanaブロックチェーン上に構築された非カストディアル型（ユーザーが鍵を自己管理する）のDEXにもかかわらず、ガバナンスレイヤーが陥落したことで全機能が停止に追い込まれた。

「マルチシグだから安全」という幻想

今回の攻撃が示した最大の教訓は、マルチシグ（多者署名）は「誰が署名するか」が正しく管理されていなければ意味をなさないという事実だ。

2/5マルチシグという閾値は、1人の内部不正や鍵漏洩を防ぐためのものだ。しかし今回、攻撃者はSecurity Councilメンバー複数名に対して何らかの方法でアクセスし、承認を取得した。ソーシャルエンジニアリングなのか、メンバーの秘密鍵を侵害したのかは現時点では不明だが、「マルチシグがあるから大丈夫」という過信が事態を招いた可能性が高い。

DurableNonce（遅延ノンス）の悪用も見逃せない。通常のブロックチェーントランザクションはリアルタイムのブロックハッシュに依存するため、タイムアウトがある。DurableNonceはそれを回避し、将来の任意のタイミングで実行できる「タイムカプセル型」トランザクションを可能にする機能だ。正規の用途はオフライン署名などだが、今回は攻撃の「仕込み」に悪用された。

実務への影響——Web3/DeFiに関わる組織へのヒント

日本でWeb3・ブロックチェーン関連の開発や運用に携わっているエンジニア・IT管理者は以下を即座に確認してほしい：

1. ガバナンス権限の棚卸し 誰がどの権限を持っているか。Security Councilやマルチシグウォレットのメンバーリストは最新か。退任したメンバーの権限は即座に剥奪されているか。

2. マルチシグメンバーのデバイス・鍵管理 署名に使うデバイスがフィッシングやマルウェアにさらされていないか。ハードウェアウォレット（Ledger等）の使用は必須。

3. Durable Nonceの監視 Solanaベースのプロジェクトでは、DurableNonceアカウントの使用状況をモニタリングする仕組みを入れること。予期しないDurableNonce作成は攻撃の予兆かもしれない。

4. Just-In-Time権限付与 常時管理者権限を持つアカウントは最大のリスク。操作時だけ一時的に権限を付与するJIT（Just-In-Time）アクセスのアーキテクチャを検討する。

5. 異常トランザクションのリアルタイムアラート PeckShieldやEllipticのようなオンチェーン監視ツールを導入し、異常な権限変更トランザクションを即時検知できる体制を整える。

筆者の見解

正直に言う。「DeFiの420億円流出」というニュースを見て、最初に思ったのは「またか」だった。

だが今回は違う。スマートコントラクトのバグじゃない。ガバナンス設計の問題だ。これはWeb2でも起きる話だ。Entra IDの特権ロール管理、AzureのSecurity Principalの棚卸し、AWSのIAMポリシー——「管理者権限を誰かに渡してしまった」という類の事故は、ブロックチェーンじゃなくても日常的に起きている。

「常時アクセス権の付与は特権アカウント管理における最大のリスク」というのは、Web2でもWeb3でも変わらない鉄則だ。Microsoft Entra Privileged Identity Management（PIM）でJIT昇格を強制している組織はどれだけあるか。少数だろう。

北朝鮮のハッカー集団（Lazarus Groupと推測される）は、今や国家の外貨獲得手段として組織的にサイバー攻撃を行っている。Bybitの1500億円規模のハックに続き、今回は420億円。彼らにとってこれは「仕事」だ。その「仕事」のレベルは、ほとんどの民間セキュリティ組織を凌駕している。

DeFiに限らず言いたい。「今動いているから大丈夫」は最も危険な思考停止だ。Drift Protocolも攻撃前日まで正常に動いていた。脆弱性はコードの外——ガバナンスと人間の部分にあった。

ゼロトラストの本質は「誰も信頼しない」ではなく「常に検証する」だ。マルチシグのメンバーも、署名要求も、Durable Nonceアカウントも——「これは正規か」を常に問い続ける仕組みを作れ。それができていない組織は、いつか同じ目に遭う。

出典: この記事は Drift loses $280 million North Korean hackers seize Security Council powers の内容をもとに、筆者の見解を加えて独自に執筆したものです。