私は、Driftが公開した2億7000万ドルのエクスプロイトに関する詳細なレポートを読んだばかりで、正直言って非常に不安になっています。これは従来の攻撃ではなく、ほぼ6ヶ月間続いた国家レベルの情報操作の作戦です。

最も注目すべきは、その展開の仕方です。Driftの分析によると、北朝鮮に関連するグループが2025年秋頃の重要な暗号通貨会議に量子取引会社として登場しました。これは偶発的なものではありません。彼らは検証可能な職業的資格を持ち、プロトコルの仕組みに関する正当な技術知識を有し、DeFiエコシステムに溶け込む方法を正確に理解していました。

その後の数ヶ月、2025年12月から1月にかけて、そのグループはDriftにエコシステムの金庫を組み込み、協力者と作業セッションを行い、自らの資本で100万ドル以上を預け、正当なプレイヤーとしての立場を築きました。さらに、2月と3月の複数の国際会議でDriftのチームと対面で会合も行っています。攻撃を実行したのは4月1日ですが、その前にほぼ半年間、この存在感を築き上げていたのです。

技術的な侵入は非常に洗練されていました。主に二つの手法でデバイスを侵害しました。第一に、AppleのTestFlightの偽アプリを配布し、App Storeのセキュリティ審査を回避しました。第二に、2025年末からセキュリティコミュニティが指摘していたVSCodeとCursorの既知の脆弱性を悪用しました。これらのエディタでファイルを開くだけで、警告なしに任意のコードを実行できました。

侵入後、彼らは必要な2つのマルチシグ承認を得ることに成功しました。事前に署名された取引は1週間以上放置されており、4月1日に一気に実行され、わずか1分未満でプロトコルの預金から2億7000万ドルを吸い出しました。

調査官は、この攻撃をUNC4736、別名AppleJeusやCitrine Sleetと結びつけ、ブロックチェーン上の資金流と北朝鮮に関連するアクターとの重複から判断しています。会議に登場した個人は北朝鮮の市民ではありませんでしたが、そのレベルの脅威アクターは、完全に構築された身分と職歴を持つ仲介者を使い、デューデリジェンスの監査を通過させるのが常套手段です。

Driftが指摘しているのは、業界全体にとって非常に不快な事実です。もし攻撃者が6ヶ月、100万ドルの投資と忍耐をもって正当なエコシステム内に存在感を築くことを厭わないのであれば、どのセキュリティモデルが本当にそれを検知できるのでしょうか？プロトコルは主にマルチシグを防御の要としていますが、この作戦は、リソース無制限の国家レベルの敵に直面したとき、そのモデルの深刻な弱点を露呈しています。

Driftは、他のプロトコルにもアクセスコントロールの監査を行い、マルチシグとやり取りするすべてのデバイスを潜在的なターゲットとして扱うよう促しています。これは、DeFiにおいて信頼が最も効果的な攻撃ベクトルであり続けることを思い出させるものであり、たとえ信頼を排除しようとしても、その重要性は変わりません。