「コードは安全だった」——それでも280億円が消えた

2026年4月1日、Solanaブロックチェーン上のDeFi取引プラットフォーム「Drift Protocol」が、少なくとも約280億円(285百万ドル)もの資金流出を受けた。驚くべきは、攻撃者がスマートコントラクトの脆弱性を一切利用しなかったという点だ。プログラムに欠陥はなく、シードフレーズも漏洩していない。破られたのは「コード」ではなく「ガバナンスの信頼構造」そのものだった。

攻撃の手口——8日間かけて仕込まれた時限爆弾

攻撃は3月23日から30日にかけて入念に準備された。攻撃者はまず「Durable Nonce Account(耐久ナンスアカウント)」と呼ばれるSolanaの機能を活用した。

通常、ブロックチェーンのトランザクションにはブロックハッシュが使われるため、署名からおよそ2分以内に実行しなければ無効になる。Durable Nonceはこの制約を取り除き、署名済みトランザクションを任意のタイミングまで保持・実行できる機能だ。正規のユースケースとして設計されたこの機能が、今回は悪用された。

次に攻撃者は、Driftの「Security Council(セキュリティ評議会)」——プロトコルの管理権限を持つマルチシグ委員会——のメンバーから、必要閾値である5人中2人の署名(2/5マルチシグ)を取得した。この署名取得プロセスの詳細は公開されていないが、ソーシャルエンジニアリングや何らかの偽装が使われた可能性が高い。

4月1日、攻撃者は正規のトランザクションをひとつ実行した直後、準備していた悪意ある署名済みトランザクションを矢継ぎ早に実行。数分のうちに管理者権限を自身に移転させた。その後、悪意あるアセットの導入、出金制限の撤廃、そして資金の抜き取りへと一気に進んだ。

なぜこれが重要か——「ガバナンス攻撃」という新たな脅威

Web3セキュリティの文脈では、スマートコントラクトの脆弱性(バグ、ロジックエラー、再入攻撃など)が主要な攻撃ベクターとして語られることが多い。しかし今回のDrift事案は、**ガバナンス機構そのものを標的にする「ガバナンス攻撃」**が現実の脅威であることを証明した。

DeFiプロトコルの多くは、プロトコルのアップグレードや緊急停止などの権限を「マルチシグ委員会」や「DAO投票」に委ねている。これはコードの単一障害点を減らす設計だが、裏を返せば委員会メンバーへのアクセスを確保することで、コードを触らずにシステムを掌握できるということでもある。

日本のIT現場に直接影響はないと思われるかもしれないが、この攻撃手法の本質——「正規の権限委譲フローを悪用し、タイミングを計って実行する」——はブロックチェーン以外の世界でも通用する。クラウドのIAMロール委譲、Active Directoryの管理者委任、SaaSのOAuth連携など、どこにでもある「信頼ベースの権限モデル」が持つリスクとして読み替えられる。

実務への影響——エンジニア・IT管理者が今すぐ確認すべきこと

1. マルチシグ・管理者委任の閾値設計を見直す 今回の2/5という閾値が十分だったかを問い直したい。Web3に限らず、Azure AD PIMやAWS Organizations SCPなど、特権操作に必要な承認者数と承認プロセスの堅牢性を確認しよう。

2. 「事前署名」や「委任」の有効期限を管理する Durable Nonceに相当する「後から実行できる権限の付与」が自社環境にないか確認する。具体的には、長期有効なSAMLアサーション、無期限のAPIトークン、期限なしのOAuthスコープなどが該当する。

3. 異常なアクティビティの早期検知体制を整える Driftは「異常を検知してからユーザーに警告」したが、時すでに遅しだった。管理操作のログを集約し、予期しない権限変更を即座に通知するアラートを設定しておくべきだ。Azure MonitorやAWS CloudTrailを使った特権操作の監視が典型的な対策になる。

4. ゼロ信頼(Zero Trust)原則の徹底 マルチシグの署名者が「信頼できる人物」であっても、その操作内容は常に検証する仕組みが必要だ。「Verify explicitly, assume breach」の原則は、Web3のガバナンス設計にも応用できる。

筆者の見解

今回の事件が示す最も重要な教訓は、「セキュリティの最弱点は常に人間だ」という普遍的な事実だ。Driftのスマートコントラクト自体は機能通りに動いた。バグはなかった。しかし人間で構成されたガバナンス層が破られた。

ブロックチェーン業界は「コードは嘘をつかない」「信頼が不要なシステム(Trustless)」をセールスポイントとしてきたが、現実のプロトコルはどこかで「人間の信頼」に依存している。そのギャップを突かれたのが今回の攻撃だ。

より広い視点で見ると、DeFiセキュリティの成熟は、スマートコントラクト監査だけでなくガバナンス設計の監査まで含む段階に入ったと言えるだろう。タイムロック(権限変更に意図的な遅延を設ける仕組み)やオンチェーンガバナンスの透明化、あるいは2/5より高い閾値の採用など、構造的な対策が業界標準になっていくことが予想される。

日本の企業が直接DeFiに関わるケースはまだ限定的だが、Web3を活用したB2Bサービスや、NFTを使ったロイヤリティプログラムを展開しようとする企業は増えている。「スマートコントラクトが安全なら大丈夫」という過信は禁物だ。今後は「ガバナンスの堅牢性」を問われる時代が来る——Driftの事件はそのことを、280億円という代償とともに証明した。

出典: この記事は Drift loses $280 million as hackers seize Security Council powers の内容をもとに、筆者の見解を加えて独自に執筆したものです。