2026年4月1日、これはエイプリルフールのジョークではなかった。Drift ProtocolはすぐにXで声明を発表した: "This is not an April Fools joke." わずか12分で、Solana上の最大手分散型無期限デリバティブ取引所は2億8500万ドルを失った。コードのバグが原因ではない。はるかに修正困難な問題が根底にあった。
3週間の準備、12分の実行
発端は3月11日、Tornado Cashから10 ETHが引き出された時点に遡る。平壌時間の午前9時頃という点は見過ごせない細部だ。この資金はCarbonVote Token(CVT)の生成に充てられた — 実質的価値を持たない完全に作り上げられたトークンだ。その後数週間、攻撃者たちはRaydiumに少量の流動性を供給し、組織的なウォッシュトレーディングで価格を意図的に約1ドルに維持し続けた。DriftのオラクルはCVTを正規資産として認識した。罠は機能した。
3月23日、4つのdurable nonceアカウントが開設された。そのうち2つはDrift Security Councilの実在するメンバーのものであり、残りの2つは攻撃者が保有していた。攻撃者はすでに必要な署名を取得していた — おそらくマルチシグ署名者に通常の取引に見せかけて承認を求め、署名者側は実際に何を承認しているか確認できなかったと考えられる。3月27日、DriftはSecurity Councilをタイムロックなしの2/5構成へ移行した。これにより、異変に気づく最後のチャンスが誰にも気付かれることなく消滅した。
4月1日、全てが動き出した。31件の引き出しトランザクションが連続して実行され、約12分でJLP Delta Neutral、SOL Super Staking、BTC Super Stakingの3つの主要ヴォルトが空になった — USDC、SOL、JLP、WBTCを合わせて2億8500万ドル超。プロトコルのTVLは5億5000万ドルから2億5000万ドル未満へ急落。DRIFTトークンは40%超下落。Solanaエコシステム内の11プロトコルが連鎖的な被害を受けた。
ZachXBTのCircle批判:問われる責任
エクスプロイト直後、攻撃者は盗んだ資産の大半をUSDCに転換した。その後CircleのCCTPブリッジ — USDC発行体が所有するクロスチェーンプロトコル — を利用し、6時間にわたって100件超のトランザクションを通じ約2億3200万ドルをSolanaからEthereumへ移動させた。米国の業務時間帯に堂々と。Circleは何もしなかった。
ZachXBTはXでCircleとCEOのJeremy Allaireを名指しで批判した:
Circle was asleep while many millions of USDC was swapped via CCTP from Solana to Ethereum for hours from the 9 figure Drift hack during US hours.
— ZachXBT (@zachxbt) April 2, 2026
Value was moved and nothing was done yet again.
Comes days after you froze 16+ business hot wallets incompetently which is still… pic.twitter.com/T0Xwg1HIfO
問題の核心はここにある: 3月23日 — 攻撃者がSolana上でdurable nonceアカウントを作成したまさに同日 — Circleは米国民事訴訟に関連してDFINITY財団のckETH Minter Smart Contractを含む16の企業ウォレットのUSDC残高を数分以内に凍結していた。正当なウォレット、実在する事業体、事前通知なし。ZachXBTはこれを"5年間で見た中で最も無能な凍結"と評していた。それでもCircleは行動した。
今回は違った。研究者のSpecterは重要な詳細を追加した: 攻撃者は資金を動かす前に1〜3時間待機し、意図的にTetherを回避していた。CircleがCCTPを通じた大規模な不正資金移動を看過することを、攻撃者は事前に計算していたのだ。FSA(金融庁)やJVCEA(日本暗号資産取引業協会)が国内のステーブルコイン発行体に求めるAML基準とも対比される対応の鈍さだ。
背後にいる者:再びラザルスグループ
EllipticとTRM Labsは数時間差で分析レポートを公表し、結論は一致した。全ての痕跡はラザルスグループを指していた — 2025年のBybitから14億ドル流出、2022年のWormhole Bridgeから3億2600万ドル流出に関与したとされる北朝鮮のハッカー集団だ。初期段階でのTornado Cash使用、CVTデプロイ時のタイムスタンプと平壌時間の一致、資金洗浄の速度、マルチチェーンブリッジングのパターン — 全てが符合する。
Ellipticによれば、これは2026年に北朝鮮政権に帰属された18件目の攻撃だ。わずか数ヶ月で3億ドル超が奪われた。米国政府によれば、これらの資金は平壌のミサイル・核開発プログラムの資金源となっている。日本の暗号資産取引所はFSAの下で厳格なKYC・AML体制を求められており、このような資金洗浄経路への対応力という点で国際的な比較軸となりうる。
問題はコードではなかった
2回の監査 — 2022年のTrail of Bits、2026年2月のClawSecure — はいずれもDriftを安全と評価した。発見すべきバグは存在しなかった。問題は、忍耐強い攻撃者が一つひとつ解体していったガバナンス構造にあった: 管理移行へのタイムロック不在、最低流動性閾値のないオラクル、トランザクション内容を実質的に検証する手順を持たないマルチシグ署名者。
2026年には35のDeFiプロトコルが総額約4億5300万ドルの被害を受けた。Driftは今年最大の事案だ。おそらく最後にはならないだろう。雑所得として最大55%の税率が適用される日本の暗号資産投資家にとっても、DeFiプロトコルのガバナンスリスクへの認識を深める必要性を改めて示す事案といえる。
