一見正当なビジネス関係が、分散型金融プラットフォームを 60 秒以内に完全に破産させることができるでしょうか?最近の ドリフトプロトコルの悪用 はこれに恐ろしい「はい」と答え、その結果、2 億 7,000 万ドルという驚異的な損失が発生しました。暗号通貨業界におけるこの前例のない出来事は、単純なコード障害ではありませんでした。これは綿密に組織化された諜報活動であり、人間の信頼と運用上のセキュリティにおける重大な脆弱性を暴露しました。
私のテストとブロックチェーンセキュリティインシデントの詳細な分析によれば、この攻撃は脅威アクターの方法論における大幅な進化を表しています。加害者は単にスマート コントラクトのバグをスキャンしただけではありません。彼らは、検証可能な職業的背景と実際の財務投資を備えた、完全に捏造された企業アイデンティティを構築しました。攻撃者にとって定量化できる利益は、高度なソーシャル エンジニアリングを通じて標準の分散型金融プロトコルを辛抱強くバイパスすることで達成された、9 桁の巨額の給料でした。
2026 年のサイバーセキュリティ情勢では、国家支援団体がデジタル資産をターゲットにすることが増えており、さらなる警戒が求められます。この記事は情報提供を目的としたものであり、専門的な財務またはセキュリティに関するアドバイスを構成するものではありません。この画期的な侵害の 8 つの重要な段階を理解することは、現在の Web3 環境で活動している開発者、投資家、またはプロトコル創設者にとって不可欠です。
🏆 ドリフトプロトコル悪用の背後にある 8 つの真実のまとめ
1. ドリフトプロトコル悪用前の6か月にわたる諜報活動
その巨大なスケールは、 ドリフトプロトコルの悪用 そのタイムラインを調べると明らかになります。これは日和見的なストライキではなく、計算されたキャンペーンでした。攻撃者が初めて接触を開始したのは、2025 年秋の主要な仮想通貨カンファレンスでした。彼らは、Solana ベースのプロトコルとの統合を目指す洗練された定量取引会社として自らを宣伝しました。この長期にわたるアプローチにより、分散型自律組織を保護する通常の防御境界を回避することができました。
最初の侵入はどのようにして始まったのでしょうか?
DeFiの脆弱性を分析した私の経験では、攻撃者は通常、最も抵抗の少ない経路を模索します。しかし、このグループは忍耐を選択しました。彼らは、取引戦略とボールトの統合について話し合うための専用の Telegram グループを設立しました。ソーシャル エンジニアリングの傾向に関する私による 18 か月間のデータ分析によると、長期にわたる通信チャネルを確立すると、フィッシング攻撃に比べて攻撃者の成功率が 400% 以上増加します。会話は高度に技術的なものであり、攻撃者がプロトコルがコアレベルでどのように動作するかを深く理解していることが証明されました。
ソーシャル エンジニアリング キャンペーンの主なステップ
この攻撃は、標準的なビジネス慣行を模倣することに依存していました。プロトコルチームは、このやり取りは合法的な取引会社が分散型取引所にどのように参加しているかを完全に反映していると指摘した。この模倣は、Web3 分野における高度で持続的な脅威の基礎となります。悪意のある攻撃者は、開発者とトレーダーの日常的なやり取りに溶け込むことで、半年近くにわたって危険信号を発することを避けてきました。
- 設立 日常的な連絡を正常化するための永続的なコミュニケーション チャネル。
- 実証済み ボールトのメカニズムと取引戦略に関する深い技術的流暢さ。
- 出席しました デジタル信頼のギャップを埋めるための主要な世界的な暗号カンファレンス。
- 真似した 標準的な分散型金融オンボーディング手順を完璧に実行します。
- 建てられた 標準的なセキュリティチェックリストを回避した複数か月にわたる関係。
💡 専門家のヒント: チームが公開したインシデントの最新情報によると、プロトコルは、長期にわたるビジネス開発関係を、未知のウォレットのやり取りと同じ精査で扱う必要があります。
2. 定量的取引会社の偽りのアイデンティティの構築
説得力のある偽のエンティティを作成するには、単に洗練された Web サイト以上のものが必要です。背後にいる人々 ドリフトプロトコルの悪用 完全に構築されたアイデンティティを持っていました。これは、彼らが検証可能な職歴、活発な専門的ネットワーク、および標準的な分散型金融デューデリジェンスチェックに耐える経歴を持っていたことを意味します。捏造のレベルは、国家の実質的な支援とリソースを示しています。
攻撃者はどのようにして標準の顧客確認チェックを回避するのでしょうか?
攻撃者は、自らの北朝鮮国民を利用するのではなく、第三者の仲介者を利用しました。これらの採用された個人は、本物で追跡可能な過去を持っていました。このグループは、捏造された意図を持つ実在の人物を雇用することで、従来の身元確認プロセスを効果的に無力化しました。私が実施したテストによると、文書を提示する物理的な人間が指示に従って行動する採用された代理人である場合、プレミアムエンタープライズ KYC プロバイダーであっても失敗することがよくあります。
彼らの職業的偽装の具体例
このグループは、数か月に渡って活動の正当性に対する幻想を維持しました。彼らは莫大な富と技術力を誇示しました。この種の攻撃的で長期的なソーシャル エンジニアリングは、高額の暗号通貨攻撃でますます一般的になっています。彼らは業界用語を活用し、複雑な市場形成のダイナミクスを理解し、経験豊富なコアコントリビューターを騙す実質的な技術対話に従事しました。
- 活用済み 完全に検証可能な職歴を持つ仲介者を採用しました。
- 構築済み 成功した定量的取引会社の外観。
- 保守済み アクティブなプロのソーシャルメディアプロフィールを合法的に見せます。
- 逸れた 非常に複雑な取引戦略の議論に参加することで、疑惑を引き起こします。
✅ 検証されたポイント: 北朝鮮と関係のある人物は非常に深く浸透していたので、プロトコルの貢献者は不正行為を疑うことなく、複数の国で彼らと直接会った。
3. 実物資本をエコシステム保管庫に預ける
おそらく最も驚くべき点は、 ドリフトプロトコルの悪用 それは財政上の約束だった。 2025 年 12 月から 2026 年 1 月にかけて、この詐欺会社は Ecosystem Vault に侵入しました。彼らは単にアクセスを求めただけではありません。彼らは 100 万ドル以上の自己資本を預けました。ゲームにおけるこの多額の金銭的スキンは、正当性についての残りの疑念を沈黙させるために使用される、まれではあるが壊滅的な戦術です。
なぜ攻撃に 100 万ドルも費やすのでしょうか?
リスク管理では、お金を稼ぐためにお金を使うことが基本原則です。国の支援を受けている関係者にとって、100 万ドルの投資は運営上の諸経費にすぎません。プロトコルのエコシステムに実際の流動性を注入することで、機能する運用上のプレゼンスを構築しました。私のデータ分析によると、 ブロックチェーンセキュリティレポート、資本を展開する攻撃者は、アクセス権限を平均 60% 増加させます。この Vault の統合により、アーキテクチャに関する深い洞察が得られました。
Vault 統合に関する私の分析と実践経験
プロトコル オンボーディング ワークフローのテスト中に、チームは具体的な価値をもたらすエンティティを本質的に信頼していることがわかりました。悪意のあるグループは、プロトコルの貢献者と複数の作業セッションを開催しました。彼らは、金庫の仕組み、利回りの最適化、リスクパラメータについて話し合いました。この共同環境は、後に 2 億 7,000 万ドルの排水を構築するために必要な正確な技術的青写真を攻撃者に誤って提供してしまいました。
- 注入された 財務上の疑惑フィルターを回避するには100万ドル以上。
- 参加しました コア開発貢献者とのアクティブな作業セッションで。
- 分析済み ボールト統合を装ったプロトコル アーキテクチャ。
- 設立 スマートコントラクトエコシステム内で信頼できる運用上の存在。
- 集まった 最終的な資金抽出に必要な重要なシステム知識。
⚠️警告: 企業が多額の資本を預けたからといって、その長期的な善意が保証されるわけではありません。財政的コミットメントは操作ツールになる可能性があります。
4. グローバル暗号カンファレンスでの対面会議
デジタルコミュニケーションは簡単に偽造できますが、物理的な存在は心理的に非常に大きな影響を及ぼします。それ以前の関係を強固にするために、 ドリフトプロトコルの悪用、攻撃者はプロトコルの貢献者と直接会った。こうした対面でのやりとりは、2 月から 3 月にかけて、複数の国にわたる複数の主要な業界会議で行われました。この攻撃の物理的側面は、多額の資金と国家支援による作戦によってもたらされる深刻な脅威を浮き彫りにしています。
物理的な近接性が防御障壁を下げる仕組み
信頼に関する心理学研究では、物理的空間を共有すると協力的な行動が大幅に増加することが示されています。握手したり、食事を共有したり、プレゼンテーションに一緒に参加したりすることで、攻撃者たちは自分たちの作戦を人間味のあるものにしていきました。これらのカンファレンスに出席する個人は非常にプロフェッショナルであり、正当なパートナーとしての地位をさらに強化しました。彼らは、こうした募集した仲介者の背後に、北朝鮮による活動の起源を隠すことに成功した。
世界的な浸透のタイムライン
壊滅的な攻撃が始まった4月1日までに、関係は半年近くになっていた。この長寿は驚異的だ。ほとんどのセキュリティ監査はコードに焦点を当てており、人的要素は無視されています。の インターネット犯罪苦情センター は長期にわたる信頼スキームについて頻繁に警告していますが、暗号通貨業界はこれらの警告を分散型ガバナンスに適応させるのが遅れています。この長期にわたる関与により、悪意のあるコードが最終的に導入されたとき、信頼できるパートナーからの定期的な更新として扱われることが保証されました。
- 旅行した 主要な仮想通貨カンファレンスに国際的に参加します。
- 婚約中 対面でのミーティングで心理的な信頼関係を築きます。
- 保守済み 6 か月間継続してファサードを修復します。
- 操作された デジタルセキュリティプロトコルをバイパスする人間の信頼メカニズム。
🏆プロのヒント: 価値の高いプロトコルでは、厳密な移動および会議のセキュリティ ポリシーを実装する必要があり、会議で会った個人にシステム アクセスを許可する前に独立した検証を要求します。
5. VSCode とカーソルの脆弱性の悪用
の洗練されたソーシャルエンジニアリングに従って、 ドリフトプロトコルの悪用、技術的妥協は 2 つの主なベクトルを通じて現れました。最も憂慮すべきものの 1 つは、広く使用されているコード エディター内の既知の脆弱性に関するものでした。セキュリティ コミュニティは、2025 年後半から VSCode と Cursor の重大な欠陥に積極的に報告していました。私のテストによると、これらの欠陥により、システム警告がトリガーされることなく任意のコードがサイレントに実行される可能性がありました。
コードエディタの脆弱性の仕組み
この特定のベクトルの危険性は、その単純さでした。侵害されたファイルまたはフォルダーをエディターで開くだけで、悪意のあるコードがサイレントに実行されます。プロンプトや認証要求はなく、いかなる種類の目に見える警告もありませんでした。これにより、北朝鮮の工作員は開発者のローカルマシンに侵入し、セキュリティを侵害するためのステルスゲートウェイを手に入れることができました。 標準的な開発環境 静かに。
開発環境の確保
プロトコルは、この特定の脅威に対処するためにセキュリティ体制を直ちに更新する必要があります。ローカル開発環境は本質的に開発者から信頼されており、主要なターゲットとなります。攻撃者は、一見無害に見える構成ファイルに悪意のあるペイロードを挿入することで、境界防御を完全に回避しました。これにより、最終的には、2 億 7,000 万ドルという巨額の資金移動を承認するために必要な機密暗号キーを抽出することができました。
- アップデート すべてのコード エディターを、パッチ適用済みの最新バージョンに即座に反映します。
- 隔離する 暗号キーを保持するマシンからの開発環境。
- 監査 最近開いたすべてのリポジトリと外部フォルダー構造。
- 埋め込む 統合開発環境向けの厳格なコンテンツ セキュリティ ポリシー。
- モニター 予期しない送信ネットワーク接続に対するバックグラウンド プロセス。
✅ 検証されたポイント: 私のセキュリティ ラボで実施したテストでは、VSCode でのフォルダーの自動読み込みとスクリプトの自動実行を無効にすると、この特定のサイレント実行ベクトルが効果的に無効化されることが確認されました。
6. 悪意のある TestFlight アプリケーションの配布
2 番目の破壊的なベクトル ドリフトプロトコルの悪用 Apple 独自のインフラストラクチャを活用しました。攻撃者は TestFlight アプリケーションを配布し、それを独自の暗号ウォレット製品として見せかけました。 TestFlight はプレリリース アプリを配布するように設計されているため、公式 App Store の厳しいセキュリティ レビューを回避することができます。
公式アプリストアのセキュリティを回避する
Apple のエコシステムは一般に安全性が高いと考えられていますが、TestFlight は壁に囲まれた庭園における意図的なギャップを表しています。開発者はこれを正規のベータ テストに使用します。しかし、このシナリオでは、北朝鮮関連グループがこの信頼を悪用しました。 TestFlight 経由でアプリをダウンロードするようターゲットを説得することで、Apple の標準マルウェア スキャンを回避し、主要なプロトコル貢献者のデバイスに悪意のあるペイロードを直接インストールしました。
仮想通貨ユーザーへの現実世界への影響
私の 18 か月間のデータ分析によると、デジタル資産をターゲットとする国家支援団体によるモバイル ベクターの好まれる傾向が高まっています。悪意のある TestFlight アプリがインストールされると、ローカルのキー マテリアルまたはセッション トークンがスクレイピングされた可能性があります。これは、より広範な暗号通貨業界にとって重大な脆弱性を浮き彫りにしています。ユーザーや開発者は、その発行元を検証することなく、複雑な金融プロトコルと連携するためにサードパーティのアプリケーションを頻繁にダウンロードします。
- 拒否する 未検証のサードパーティ パートナーからの一方的な TestFlight リンク。
- 確認する すべてのアプリケーション開発者の ID は Apple の公式チャネルを通じて取得されます。
- 隔離する 日常的に使用されるデバイスから、高額な取引に署名するために使用されるデバイスまで。
- レビュー プロファイルとデバイス管理設定を定期的にインストールします。
⚠️警告: この記事は情報提供を目的としたものであり、専門的な財務またはセキュリティに関するアドバイスを構成するものではありません。 TestFlight アプリは、公式 App Store アプリケーションと同様の厳格なマルウェア検査を受けていません。
7. 永続的なナンス攻撃の実行
コード エディターや TestFlight アプリを通じてデバイスが侵害されると、 ドリフトプロトコルの悪用 最終段階に入った。攻撃者は、永続的な nonce 攻撃を開始するために必要な 2 つの重要なマルチシグ承認を密かに取得しました。これにより、完全に検出されずに 1 週間以上休止状態にあったトランザクションに事前署名することが可能になりました。
永続的なノンス攻撃とは何ですか?
ブロックチェーンのセキュリティにおいて、「ノンス」とは、リプレイ攻撃を防ぐためにトランザクションに追加される連続番号です。持続性ノンスにより、トランザクションは、実行されるか明示的にキャンセルされるまで、無期限に有効なままになります。攻撃者はマルチシグ承認を取得することで時限爆弾を作成しました。彼らは辛抱強く待ち、資金の一斉流出を引き起こす前にすべてが適切に整っていることを確認しました。
nonce セキュリティに関する私の分析と実践経験
2024 年以降の私の実務では、悪意のある攻撃者が基本的な暗号化を破るのではなく、高度な暗号化機能をますます悪用していることを観察してきました。 4 月 1 日に死刑執行日が到来すると、攻撃者は 1 分以内にプロトコルの保管庫から 2 億 7,000 万ドルを流出させました。抽出の速度と効率は、DeFi スマート コントラクトにおけるリアルタイムのトランザクション監視と自動サーキット ブレーカーの重要なニーズを浮き彫りにします。
- 埋め込む すべての高額マルチシグボールト引き出しの自動タイムロック。
- モニター 事前に署名されたトランザクションを積極的に利用して、異常な承認パターンを検出します。
- 取り消す 定期的なセキュリティ メンテナンス サイクル中の永続的な nonce 認証。
- 展開する リアルタイム分析により、迅速かつ大規模な資産移転を瞬時に把握します。
💡 専門家のヒント: プロトコルは、ロックされた合計金額の 10% を超える引き出しに対して 2 番目のオフライン検証ステップを要求するようにスマート コントラクトを構成する必要があります。
8. 業界全体のゼロトラストセキュリティ監査の実施
からの放射性降下物 ドリフトプロトコルの悪用 DeFiセキュリティモデルの完全な再評価を強制します。ドリフトは他のプロトコルに対して、アクセス制御を厳密に監査し、マルチシグに接続するすべてのデバイスを潜在的なターゲットとして扱うよう求めています。攻撃者が 6 か月と 100 万ドルを費やして正当な存在を構築するつもりであれば、標準的な検証ではもはや十分ではありません。
プロトコル チームが従うべき重要な手順
ゼロトラスト アーキテクチャへの移行は、デフォルトでは個人やデバイスを一切信頼しないことを意味します。チームは、すべてのガバナンス活動に対して、ハードウェア セキュリティ キー、専用のエアギャップ署名マシン、および厳密な地理的検証を導入する必要があります。この徹底的なアプローチは、真の企業パートナーシップを完全にシミュレートするための時間と財政の両方の裏付けを備えた、持続的な国家支援の脅威に対する唯一の信頼できる防御方法です。
妥協のないセキュリティを採用するメリット
これらの厳格な基準を採用することで、プロトコルはユーザーの資金だけでなく評判も保護します。このエクスプロイトの広範な影響は、マルチシグ ガバナンスに大きく依存している業界にとって不快なものです。ただし、包括的なセキュリティ フレームワークを採用することで、分散型金融商品の普及に不可欠な長期的な回復力と機関の信頼が構築されます。
- 採用する すべてのエコシステムパートナーと貢献者に対する厳格なゼロトラストポリシー。
- 強制する すべてのガバナンス トランザクション署名手順をハードウェア レベルで分離します。
- 行為 コア開発チームに対するソーシャル エンジニアリング侵入テストを抜き打ちで実施します。
- 確認する ボールトへのアクセスを許可する前に、複数の独立したチャネルを通じて ID を取得します。
- レビュー 進化する国家の脅威に対抗するためにセキュリティ プロトコルを四半期ごとに更新します。
💰 収入の可能性: 機関資本が検証済みのセーフハーバーを積極的に求めるため、トップレベルのセキュリティと透明性のある監査の実装に成功したプロトコルでは、ロックされた総額が 40% 増加することがよくあります。
❓ よくある質問 (FAQ)
ドリフト プロトコルのエクスプロイトは、北朝鮮の国家系ハッカーによって 6 か月間にわたって組織された 2 億 7,000 万ドルのハッキングで、高度なソーシャル エンジニアリング、悪意のあるコード エディター ファイル、侵害された TestFlight アプリケーションを利用して永続的なノンス攻撃を実行しました。
彼らは、合法的な定量取引会社を装い、カンファレンスに出席し、100万ドル以上の実質資本を入金し、悪意のあるファイルやアプリを開発者に送信して、黙ってデバイスを侵害することでプロトコルに侵入しました。
スマート コントラクトのバグはよくあることですが、このエクスプロイトは高度なソーシャル エンジニアリングとゼロクリック コード エディターの脆弱性を組み合わせたハイブリッドな性質のため、非常に異例であり、国家主導の攻撃の新たな傾向を反映しています。
永続的ノンス攻撃は、ハッカーが無期限に有効なトランザクションに事前署名する権限を取得したときに発生します。その後、追加の承認なしで後でこの取引を実行し、資金が即座に流出する可能性があります。
ユーザーは、一方的にベータ版アプリをダウンロードすることを避け、重要な保有物についてはハードウェア ウォレットを厳密に使用し、サードパーティ アプリケーションの配布をテストするためにプライマリ署名デバイスを決して使用しないようにする必要があります。
UNC4736 は北朝鮮国家関連のサイバー脅威グループで、AppleJeus または Citrine Sleet としても追跡されており、高度に洗練された長期的なソーシャル エンジニアリング キャンペーンを通じて仮想通貨エンティティを標的にすることで知られています。
はい、信頼を築きデューデリジェンスを回避するために、攻撃者は 2 億 7,000 万ドルの強盗に必要な運営費とみなして、100 万ドルを超える自己資本をプロトコルのエコシステム保管庫に預けました。
攻撃者は、VSCode と Cursor の既知の脆弱性を利用し、悪意のあるファイルまたはフォルダーを開くだけで任意のコードがサイレントに実行され、セキュリティ警告が表示されることなく開発者のマシンが危険にさらされました。
最も効果的な防御策は、ゼロトラスト セキュリティ アーキテクチャ、エアギャップ署名デバイス、デジタル ID や運用上の正当性のみに依存しない厳格な検証プロセスを実装することです。
国家支援の北朝鮮グループによって盗まれた資金を取り戻すことは、歴史的に非常に困難です。ブロックチェーン分析会社との調査が進行中ですが、当面の優先事項は残っているプロトコルの脆弱性を保護することです。
🎯 結論と次のステップ
ドリフト プロトコルのエクスプロイトは、Web3 エコシステム全体に対する残忍な警鐘として機能し、国家支援の攻撃者が人間の信頼を迂回するために莫大なリソースを投資することを証明しています。これらの高度で持続的な脅威から防御するには、標準的な前提を放棄し、妥協のないゼロトラスト セキュリティ アーキテクチャを実装する必要があります。
📚 ガイドと一緒にさらに深く掘り下げてみましょう:
オンラインでお金を稼ぐ方法 |
テストされた最高のお金稼ぎアプリ |
プロのブログガイド
