DeFiの発展における最大の障害
核心的な視点
現在、DeFiが直面している最大の脅威は、市場や流動性だけではなく、安全性においてもコードの脆弱性を防ぐだけでは不十分です。なぜなら、スパイが身近に潜んでいる可能性があるからです。著者: Chloe, ChainCatcher
先週、Solanaの貸出プロトコルDriftがハッキングされ、約2.85億ドルのユーザー資産が盗まれました。公式の説明によると、これは典型的なスマートコントラクトの脆弱性攻撃ではなく、国家レベルのハッカーによって計画された6ヶ月にわたる社会工学的攻撃です。
調査の証拠によれば、同じ脅威行為者がすでに複数のDeFiプロトコルの開発コアに深く入り込んでいる可能性があり、攻撃者の立場ではなく、貢献者の役割で関与しているとのことです。
北朝鮮のハッカーが早期に潜入するのは一般的だが、大量の現金を投入することは稀
Drift事件の声明によると、攻撃者の核心戦略は「エコシステムの一部になること」です。
2025年秋から、彼らは量子取引会社を装い、主要な暗号業界の会議でDriftのコア貢献者に接触を始めました。この接触は一度だけではなく、異なる国や会議を跨いで半年間にわたり意図的に行われました。彼らは技術的に専門的で、背景が確認でき、Driftの運営方法を熟知しています。
さらに、彼らはDriftのコアメンバーとの交流に限らず、Driftエコシステム金庫(Ecosystem Vault)のオープンメカニズムを利用し、合法的な取引会社の身分で自らの金庫を上場させ、100万ドル以上の自己資金を預け入れ、複数のワークショップに参加し、深い製品に関する質問を提起し、プロジェクト側との信頼を強化しました。
ブロックチェーン技術の専門家であるStevenはChainCatcherのインタビューで次のように述べています。「北朝鮮のハッカーは早期からターゲットに潜入することが一般的ですが、大量の現金を信頼の基盤として投入することは稀です。しかし、攻撃者にとって、この100万ドルは実際にはリスクのない投資であり、攻撃を行わなければ、このお金は金庫に存在する通常の資金であり、いつでも引き出すことができます。また、実際の操作は無知な第三者によって行われ、組織自体にはほとんど経済的損失がありません。」
さらに、Driftとの長期的な協力の中で、彼らは自社の開発ツールを展示する名目で、GitHubに保存されているコードプロジェクトやアプリケーションを共有しました。当時の状況では、協力者同士が互いのコードを確認することは非常に普通のことでした。しかし、Driftのその後の調査では、ある貢献者がコピーしたGitHubのコードプロジェクトに悪意のあるコードが含まれており、別の貢献者はウォレット製品を装ったTestFlightアプリをダウンロードするよう誘導されました。
コードプロジェクトのこの経路が防止しにくい理由は、開発者の日常的な作業フローに完全に組み込まれているからです。開発者は日常的にVSCodeやCursorのようなコードエディタを使用してコードを書くため、エンジニアのWordのように、毎日開いて使用します。
安全研究コミュニティは2025年末にこの種のエディタに深刻な脆弱性が存在することを発見しました:開発者が他人が共有したコードプロジェクトを開くと、プロジェクト内に隠された悪意のある命令が自動的にバックグラウンドで実行され、プロセス全体は完全に隠蔽され、画面上に確認ウィンドウが表示されることはなく、同意をクリックする必要も警告もありません。開発者は「コードを見ているだけ」と思っているが、実際にはコンピュータにバックドアが植え付けられています。攻撃者はこの脆弱性を利用して、悪意のあるソフトウェアを開発者の日常的な操作に隠していました。
4月1日にDrift攻撃事件が発生した時点で、攻撃者チームのTelegramチャット記録とすべての悪意のあるソフトウェアの痕跡は完全に消去され、2.85億ドルの欠損だけが残されました。
Driftは氷山の一角に過ぎないか?
暗号業界の緊急安全対応組織SEAL 911の調査によると、今回の攻撃は2024年10月のRadiant Capitalハッカー事件と同じ脅威行為者によるものです。関連する根拠には、チェーン上の資金の流れ(今回の行動の準備とテストに使用された資金はRadiant攻撃者に遡ることができる)や行動パターン(今回の行動で展開されたキャラクターは、既知の北朝鮮関連の活動と識別可能な重複がある)があります。また、Driftが雇った著名なセキュリティフォレンジック会社Mandiant(現在はGoogle傘下)は、以前にRadiant事件を北朝鮮国家関連組織UNC4736に帰属させましたが、Mandiantはまだ正式に今回のDrift事件に対する帰属を行っておらず、完全なデバイスフォレンジックは進行中です。
特に、会議に実際に出席した個人は北朝鮮国民ではありません。Stevenは次のように述べています。「北朝鮮のハッカーを一般的なハッカー組織と見なすべきではなく、情報機関として見るべきです。これは数千人を擁し、役割分担が明確な巨大な組織であり、その中で北朝鮮のハッカーLazarusは国際安全分野での正式なコードネームAPT38を持ち、北朝鮮の別の関連組織KimsukyのコードネームはAPT43です。」
これにより、彼らがオフラインで実際の人間を展開できる理由が説明されます。彼らはさまざまな名目で海外に会社を設立し、現地の人員を募集しますが、これらの人々は自分が誰のために働いているのか全く知らないこともあります。「彼は自分が正常なリモートワークの会社に参加したと思っているかもしれませんが、1年後に顧客に会うために派遣され、すべてが正常に見えますが、その背後にはハッカー組織がいます。司法機関が調査に来たとき、その人は何も知らないのです。」
現在、Driftは氷山の一角に過ぎないかもしれません。
もしDrift事件が単一のプロトコルの脆弱性を暴露したとすれば、次の調査結果はより大きな問題を指摘しています:同じ手法がすでに全体のDeFiエコシステムで何年も運用されている可能性があります。
ブロックチェーン研究者Tayvanoの調査によると、2020年のDeFiの急速な拡張以来、北朝鮮のIT作業者に関連するコードの貢献が複数の有名プロジェクトに広がっています。これにはSushiSwap、THORChain、Harmony、Ankr、Yearn Financeが含まれます。
これらの人物の手法はDrift事件と全く同じです:偽の身分を使用し、フリーランスプラットフォームや直接の連絡を通じて開発者の役割を取得し、Discordチャンネル、開発者コミュニティ、さらには開発者会議に参加します。一度プロジェクト内部に入ると、彼らはコードを貢献し、開発サイクルに参加し、チームとの信頼を築き、プロトコル全体の構造を把握し、機会を伺います。
Stevenは、伝統的な情報機関では、彼らは一生潜伏することさえでき、次の世代が前の世代の未完の任務を引き継ぐことができると考えています。Web3プロジェクトは彼らにとって短期間で利益が大きく、リモートワークの特性により、一人の人間が複数のプロジェクトで多くの役割を兼任することができ、これはWeb3業界では非常に一般的であり、疑いを引き起こすことはありません。
「北朝鮮のハッカー組織はすべてのWeb3プロジェクトを攻撃対象にし、各プロジェクトを慎重に選別し、チームメンバーの情報を収集します。彼らはプロジェクトについての理解が、プロジェクト側自身よりも明確です。」とStevenは言います。そしてWeb3が主要なターゲットとなる理由は、このエコシステムの資金量が大きく、世界的に統一された規制が欠如しており、リモートワークが普及しているため、協力者や従業員の実際の身元を確認することが難しいからです。さらに、従事者が一般的に若く、社会経験が不足していることが、北朝鮮の情報機関に理想的な浸透環境を提供しています。
ハッカー事件は頻繁に発生し、プロジェクト側はただ待つしかないのか?
近年の重大事件を振り返ると、社会工学は常に北朝鮮のハッカーグループの核心手段です。最近、Binanceの創設者CZの回顧録『Binance人生』が公開され、2019年5月にBinanceが7000枚のビットコインを盗まれた経緯が振り返られています。CZによると、ハッカーは最初に高度なウイルスで数名の従業員のノートパソコンに侵入し、その後、出金プロセスの最後のステップで悪意のある命令を植え込み、午前1時にホットウォレットから7000枚のビットコイン(当時の価値は約4000万ドル)を盗みました。CZは書中で、攻撃手法から見て、ハッカーはBinanceネットワークにしばらく潜伏しており、北朝鮮のLazarusによるものであると強く疑っており、内部の従業員を賄賂で買収した可能性もあると述べています。
2022年のRonin Network事件も典型的なケースです。Roninは人気のチェーンゲームAxie Infinityの背後にあるサイドチェーンで、ゲーム内のすべての資産のクロスチェーン移転を処理しており、その時点でロックされた資金の規模は膨大でした。攻撃の原因は、ある開発者が有名企業からの高給職のオファーを受け取り、面接中に悪意のあるプログラムを含むファイルをダウンロードしたことにあります。攻撃者はこれを利用して内部システムの権限を取得し、最終的に6.25億ドルを盗みました。
2023年のCoinsPaid事件の手法もほぼ同じです。CoinsPaidは暗号通貨決済を処理するサービスプロバイダーで、攻撃者は同様に偽の採用プロセスを通じて従業員に接近し、相手を悪意のあるソフトウェアをインストールするよう誘導してシステムに侵入しました。最近のハッカー行動の手法はさらに多様化しています:偽のビデオ通話、侵害されたソーシャルアカウント、会議ソフトウェアを装った悪意のあるプログラムなどです。
被害者は一見正常なCalendlyの会議リンクを受け取り、クリックすると偽の会議アプリをインストールするよう誘導され、悪意のあるソフトウェアがウォレット、パスワード、リカバリーフレーズ、通信記録を盗みます。推定では、このような手法だけで、北朝鮮のハッカーグループは3億ドル以上を盗んでいます。
同時に、盗まれた資金の最終的な行き先も注目に値します。Stevenは、盗まれた資金は最終的に北朝鮮政府の管理下に入ると述べています。マネーロンダリングは組織内の専門チームによって実行され、彼らは自らミキサーを設立し、多くの取引所で偽の身分を使って口座を開設し、完全かつ複雑なプロセスを持っています:資金は盗まれた直後にミキサーで洗浄され、プライバシーコインに交換され、その後異なるDeFiプロジェクトを通じてクロスチェーン移転され、取引所とDeFiの間で繰り返し流通します。
「このプロセスは約30日以内に完了し、最終的な資金は東南アジアのカジノ、KYCを必要としない小規模取引所、そして中国香港や東南アジア地域のOTCサービスプロバイダーの手に渡り、現金化されます。」
では、この新しい脅威モデルに直面して、敵は攻撃者だけでなく参加者でもあり、暗号業界はどのように対処すべきでしょうか?
Stevenは、大規模な資金を管理するプロジェクト側は専門のセキュリティチームを雇用し、チーム内に専任のセキュリティポジションを設けるべきであり、すべてのコアメンバーは厳格なセキュリティ規律を遵守しなければならないと考えています。特に重要なのは、開発デバイスと財務署名を担当するデバイスは厳格に物理的に隔離されるべきです。彼は特に、Driftの今回の事件での重要な問題は、タイムロックのバッファメカニズムがすでにキャンセルされていることだと指摘しています。「これはいつでもキャンセルしてはいけないものです。」
しかし、彼はまた、北朝鮮の情報機関が本当に深く潜伏したい場合、厳格なバックグラウンド調査を行っても完全に識別することは難しいと認めています。しかし、セキュリティチームを導入することは依然として重要です。彼はプロジェクト側にブルーチーム(ネットワーク攻防における防御側のチーム)を導入することを提案しています。ブルーチームはデバイスや行動の安全性を向上させるだけでなく、重要なノードを継続的に監視し、異常な変動が発生した場合には、攻撃を即座に発見し反応することができます。「プロジェクト側の自分たちのセキュリティ能力だけでは、このレベルの攻撃に対抗するには不十分です。」
彼はさらに、現在の北朝鮮のサイバー戦能力は世界で5位にランクインしており、アメリカ、ロシア、中国、イスラエルに次ぐものであると述べています。このレベルの敵に対しては、単なるコード監査では全く不十分です。
結論
Drift事件は、現在のDeFiが直面している最大の脅威は市場の動向や流動性だけではなく、セキュリティにおいてもコードの脆弱性を防ぐだけでは不十分であることを証明しています。なぜなら、スパイが身近に潜んでいる可能性があるからです。
攻撃者が半年間の時間をかけ、100万ドルを投入して関係を築くことを望む場合、従来のコード監査やセキュリティの防線は全く不十分です。そして、現時点での調査によれば、この手法はすでに複数のプロジェクトで何年も運用されている可能性が高く、まだ発見されていないだけです。
DeFiが去中心化とオープン性を維持できるかどうかはもはや核心的な問題ではなく、真の問題は:それがオープン性を維持しながら、包装された敵が内部に浸透するのを防げるかどうかです。
リスク警告
