76%。これは推測ではない。TRM Labsの報告によると、2026年最初の4か月間に発生した暗号資産ハッキング被害のうち、北朝鮮が総損失6億5,100万ドルのうち5億7,700万ドルを奪取した。わずか4か月の出来事だ。
主要データ
- DPRK被害額(2026年1月〜4月) $577,000,000
- 暗号資産ハッキング総損失(2026年4月時点) $651,000,000
- 総損失に占めるDPRK比率 76%
- Drift Protocol(4月1日、TraderTraitor) $285,000,000
- Kelp DAO(4月18日、TraderTraitor) $292,000,000
- 2026年4月:2025年2月以来最悪の月 $651M合計
出典: TRM Labs、Chainalysis、Elliptic・2026年5月
出典: TRM Labs、Chainalysis、Elliptic・2026年5月
2件の攻撃。標的プロトコルはまったく異なる。しかし実行者は同じ、同じ月だ。Drift Protocolは4月1日にSolana上で2億8,500万ドルが流出し、EllipticとTRM Labsによってラザルスグループのサブグループ「TraderTraitor」の仕業と断定された。Kelp DAOは4月18日に2億9,200万ドルが奪われた。同じ実行組織だが、攻撃手法はまったく異なる(Solanaへのソーシャルエンジニアリングではなく、LayerZeroブリッジの悪用)。北朝鮮は即興で動いていたのではない。複数の戦線で並行して作戦を展開していた。
Security Incident Report
- プロトコル Drift Protocol (Solana)
- 流出額 $285,000,000
- 日付 2026年4月1日
- 攻撃手法 長期潜入作戦: 3月11日にCarbonVote Token(CVT)を作成し、組織的なウォッシュトレーディングを実施。その後12分でDriftのvaultをエクスプロイト。米国の就業時間中、6時間かけてSolanaからEthereumへCircle CCTPでブリッジ。
- 帰属 ラザルスグループ / TraderTraitor(Elliptic、TRM Labs)。タイムスタンプは平壌時間と一致。Tornado Cashで10 ETHのプレファンディングを確認。
出典: Elliptic、TRM Labs、ZachXBT・2026年4月
出典: Elliptic、TRM Labs、ZachXBT・2026年4月
Security Incident Report
- プロトコル Kelp DAO (rsETH/LayerZero)
- 流出額 $292,000,000
- 日付 2026年4月18〜19日
- 攻撃手法 LayerZero DVNのRPCを侵害し、侵害されていないノードにDDoS攻撃。116,500 rsETHを流出。担保として使用されていたrsETHによりAave V3に不良債権が発生。
- 帰属 ラザルスグループ / TraderTraitor(LayerZero公式ポストモーテム、2026年4月20日)。約1億7,500万ドルが36時間以内にTHORChain経由でマネーロンダリング。
出典: LayerZero Labs、Chainalysis、ZachXBT・2026年4月
出典: LayerZero Labs、Chainalysis、ZachXBT・2026年4月
Kelp DAOエクスプロイトの詳細分析、Drift Protocolの事例、そしてエクスプロイト後のAave危機がどのように収束したかについては、Kelp DAOエクスプロイト解説とDrift Protocol事例分析、またAaveによるrsETH 95%回収の顛末を参照されたい。
北朝鮮はいかにして暗号資産を盗むのか
手口は進化している。コントラクトの脆弱性を部屋の片隅で探す単独ハッカーの話ではもうない。Chainalysis、TRM Labs、FBIの研究者がTraderTraitorと特定した北朝鮮の組織は、企業のように機能している。偽求人キャンペーン(Cisco Talosが記録したGhostHire作戦)で開発者を勧誘し、暗号資産企業にコントラクターとして潜入させ、普通の従業員として数か月間働かせる。そして選んだ瞬間に、内部アクセスを使って秘密鍵を侵害し、設定を変更し、ウォレットを空にする。
#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.
,PeckShieldAlert (@PeckShieldAlert) May 15, 2026
The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK
Drift事件は最も詳細に記録されたケースだ。攻撃者は攻撃の3週間前、3月23日にSolana上で開発者アカウントを作成していた。CarbonVote Tokenを信頼性のあるものに見せるためウォッシュトレーディングを実施し、時機を待った。4月1日、12分間でvaultを空にした。その後、USDCのクロスチェーンプロトコルであるCircle CCTPを使い、米国就業時間中の6時間で2億3,200万ドルをSolanaからEthereumに移動させた。Circleは介入しなかった。Kelp DAOエクスプロイトにおけるラザルスグループの役割も、同様の長期計画の論理に従っていた。
AIもこのプロセスに入り込んでいる。Cisco Talosが記録したGhostCallおよびGhostHireキャンペーンでは、クローン音声とディープフェイクを使ってWeb3幹部を装い、採用面接のビデオ通話でなりすますことで潜入成功率を高めている。EVMbenchのベンチマークが示すような「AIがスマートコントラクトを直接攻撃する」段階ではまだないが、これはその前兆だ。エクスプロイト前の準備と隠蔽のツールとしてのAI活用、という形で。
THORChainと北朝鮮の今後の脅威
TRM Labsはまだ、5月15日のTHORChainエクスプロイトを北朝鮮に帰属させていない。しかしTraderTraitorがその1,080万ドルの作戦にも関与していたことが判明すれば、2026年における北朝鮮の暗号資産窃取額は年央前に5億8,800万ドルに達する。欧州の規制当局の対応はロシアへの制裁に集中してきたが、北朝鮮のファイルは業界で最も具体的かつ対処されていないセキュリティ問題のまま残っている。OFACは2026年にも北朝鮮の協力者に対して制裁を継続しており、最新ラウンドは3月だった。十分ではなかった。
業界が注視すべき次の焦点
THORChainコミュニティは5月22〜23日までに独自の修復策を採決する。帰属が変われば、業界へのプレッシャーも変わる。現在、ブリッジやクロスチェーンプロトコルの99%が備えていないトランザクションスクリーニングの仕組みを、セクター全体が整備せざるを得なくなるかもしれない。金融庁(FSA)は国内取引所に対してセキュリティ基準の強化を継続して求めているが、このような国家レベルの攻撃者への対策は、国内規制の枠を大きく超えた課題だ。日本の暗号資産投資家にとって、利用するDeFiプロトコルのセキュリティ体制を改めて確認することが実践的な次の一手となる。最新情報はSpazioCryptoのハック情報セクションでフォローしてほしい。
