DeFiの発展における最大の障害
核心的な視点
現在、DeFiが直面している最大の脅威は市場や流動性だけではなく、安全性においてもコードの脆弱性を防ぐだけでは不十分であり、スパイが身近に潜んでいる可能性もあります。著者: Chloe, ChainCatcher
先週、Solanaの貸借プロトコルDriftがハッキングされ、約2.85億ドルのユーザー資産が盗まれました。公式の説明によると、これは典型的なスマートコントラクトの脆弱性攻撃ではなく、国家レベルのハッカーによって計画された6ヶ月にわたるソーシャルエンジニアリング攻撃です。
調査の証拠によれば、同じ脅威行為者がすでに複数のDeFiプロトコルの開発コアに深く入り込んでいる可能性があり、攻撃者の役割ではなく、貢献者の役割を果たしているとされています。
北朝鮮のハッカーが早期に潜入するのは一般的だが、大量の現金を投入することは稀
Drift事件の声明によれば、攻撃者の核心戦略は「エコシステムの一部になること」です。
2025年秋から、彼らは量子取引会社を装い、主要な暗号業界の会議でDriftのコア貢献者に接触を開始しました。この接触は一度だけではなく、異なる国や会議を跨いで半年間にわたって意図的に行われました。これらの人々は技術的に専門的で、背景も確認可能で、Driftの運営方法に精通しています。
彼らはDriftのコアメンバーとの交流に限らず、Driftエコシステム金庫(Ecosystem Vault)のオープンメカニズムを利用し、合法的な取引会社として自社の金庫を上場させ、100万ドル以上の自己資金を預け入れ、複数のワークショップに参加し、深い製品に関する質問を提起し、プロジェクト側との信頼を強化しました。
ブロックチェーン技術の専門家であるStevenはChainCatcherのインタビューで次のように述べています。「北朝鮮のハッカーは早期からターゲットに潜入することが一般的ですが、大量の現金を信頼の基盤として投入することは稀です。しかし、攻撃者にとって、この100万ドルは実際にはリスクのない投資であり、攻撃を行わなければ、このお金は金庫内の正常な資金として存在し、いつでも引き出せます。そして、実際に操作しているのは無知な第三者であり、組織自体にはほとんど経済的損失がありません。」
さらに、Driftとの長期的な協力の過程で、彼らは自社の開発ツールを展示する名目で、GitHubに保存されたコードプロジェクトやアプリケーションを共有しました。当時の状況から見ると、協力者同士が互いのコードを確認することは非常に普通のことでした。しかし、Driftの後の調査では、ある貢献者がコピーしたGitHubのコードプロジェクトに悪意のあるコードが含まれており、別の貢献者はウォレット製品を装ったTestFlightアプリをダウンロードするように誘導されました。
コードプロジェクトのこの経路が防止が難しい理由は、完全に開発者の日常の作業フローに組み込まれているからです。開発者は日常的にVSCodeやCursorのようなコードエディタを使用してコードを書くため、エンジニアのWordのように、毎日開いて使用します。
安全研究コミュニティは2025年末にこの種のエディタに重大な脆弱性が存在することを発見しました:開発者が他人が共有したコードプロジェクトを開くと、プロジェクト内に隠された悪意のある命令が自動的にバックグラウンドで実行され、プロセス全体は完全に隠蔽され、画面に確認ウィンドウが表示されることはなく、同意をクリックする必要も警告もありません。開発者は「コードを見ているだけだ」と思っているが、実際にはコンピュータにバックドアが植え付けられています。攻撃者はこの脆弱性を利用して、悪意のあるソフトウェアを開発者の日常的な操作に隠しました。
4月1日にDrift攻撃事件が発生した時、攻撃者チームのTelegramチャット記録とすべての悪意のあるソフトウェアの痕跡は完全に消去され、2.85億ドルの欠損だけが残されました。
Driftは氷山の一角に過ぎない?
暗号業界の緊急安全対応組織SEAL 911の調査によれば、今回の攻撃は2024年10月のRadiant Capitalハッカー事件と同じ脅威行為者によるものです。関連する根拠には、チェーン上の資金の流れ(今回の行動の準備とテストに使用された資金はRadiant攻撃者に遡ることができる)や行動パターン(今回の行動で展開されたキャラクターは、既知の北朝鮮関連の活動と識別可能な重複がある)があります。また、Driftが雇った著名なセキュリティフォレンジック会社Mandiant(現在はGoogleに属する)は、以前にRadiant事件を北朝鮮国家関連組織UNC4736に帰属させていましたが、Mandiantはまだ正式に今回のDrift事件に対する帰属を行っておらず、完全なデバイスフォレンジックは進行中です。
特に、会議に実際に出席した個人は北朝鮮国民ではありません。Stevenは次のように述べています。「北朝鮮のハッカーを一般的なハッカー組織と見なすべきではなく、情報機関として見るべきです。これは数千人を擁し、明確に分業された巨大な組織であり、その中で北朝鮮のハッカーLazarusは国際安全分野での正式なコードネームAPT38を持ち、北朝鮮の別の関連組織KimsukyのコードネームはAPT43です。」
これにより、彼らがオフラインで実際の人間を展開できる理由が説明されます。彼らはさまざまな名目で海外に会社を設立し、現地の人々を募集しますが、これらの人々は自分が誰のために働いているのか全く知らない場合もあります。「彼は自分が普通のリモートワークの会社に参加したと思っているかもしれませんが、1年後に顧客に会うために派遣され、すべてが正常に見えますが、その背後にはハッカー組織がいます。司法機関が調査に来たとき、その人は何も知らないのです。」
現在、Driftは氷山の一角に過ぎないかもしれません。
もしDrift事件が単一のプロトコルの脆弱性を暴露したとすれば、次の調査結果はより大きな問題を指摘しています:同じ手法がすでに全体のDeFiエコシステムで数年にわたって運用されている可能性があります。
ブロックチェーン研究者Tayvanoの調査によれば、2020年のDeFiの急速な拡張以来、北朝鮮のIT作業者に関連するコードの貢献が複数の著名なプロジェクトに広がっています。これにはSushiSwap、THORChain、Harmony、Ankr、Yearn Financeが含まれます。
これらの人々の手法はDrift事件と同様です:偽の身分を使用し、フリーランスのプラットフォームや直接の連絡を通じて開発者の役割を取得し、Discordチャンネル、開発者コミュニティ、さらには開発者会議に参加します。一度プロジェクト内部に入ると、彼らはコードを貢献し、開発サイクルに参加し、チームとの信頼を築き、プロトコル全体の構造を把握し、機会をうかがいます。
Stevenは、伝統的な情報機関では、彼らは一生潜伏することができ、次の世代が前の世代の未完の任務を引き継ぐことさえできると考えています。Web3プロジェクトは彼らにとって短期間で高い利益をもたらし、リモートワークの特性により、一人の人間が複数のプロジェクトで複数の役割を持つことができるため、Web3業界では非常に一般的であり、疑念を引き起こすことはありません。
「北朝鮮のハッカー組織はすべてのWeb3プロジェクトを攻撃対象にし、各プロジェクトを慎重に選別し、チームメンバーの情報を収集します。彼らはプロジェクトについての理解が、プロジェクト側自身よりも明確です。」とStevenは言います。そしてWeb3が主要なターゲットとなる理由は、このエコシステムの資金量が大きく、世界的に統一された規制が欠如しており、リモートワークが普及しているため、協力者や従業員の実際の身元を確認することが難しいこと、さらに従事者が一般的に若く、社会経験が不足していることが、北朝鮮の情報機関に理想的な浸透環境を提供しているからです。
ハッカー事件は頻繁に発生し、プロジェクト側はただ待つしかないのか?
近年の重大事件を振り返ると、ソーシャルエンジニアリングは常に北朝鮮のハッカーグループの核心手段です。最近、Binanceの創設者CZの回顧録『Binance人生』が公開され、2019年5月にBinanceが7000枚のビットコインを盗まれた経緯が振り返られています。CZの説明によれば、ハッカーはまず高度なウイルスで数名の従業員のノートパソコンに侵入し、その後、出金プロセスの最後のステップで悪意のある命令を植え込み、午前1時にホットウォレットから7000枚のビットコイン(当時の価値は約4000万ドル)を盗みました。CZは書中で、攻撃手法から見て、ハッカーはBinanceのネットワークに潜伏していたと考え、高度に北朝鮮のLazarusによるものであり、内部の従業員を賄賂した可能性すらあると疑っています。
2022年のRonin Network事件も典型的なケースです。Roninは人気のチェーンゲームAxie Infinityの背後にあるサイドチェーンで、ゲーム内のすべての資産のクロスチェーン転送を処理しており、その時のロックされた資金は膨大でした。攻撃の原因は、ある開発者が有名企業からの高給職のオファーを受け取り、面接中に悪意のあるプログラムを含むファイルをダウンロードしたことにあります。攻撃者はこれを利用して内部システムの権限を取得し、最終的に6.25億ドルを盗みました。
2023年のCoinsPaid事件の手法もほぼ同様です。CoinsPaidは暗号通貨決済を処理するサービスプロバイダーで、攻撃者は同様に偽の採用プロセスを通じて従業員に接近し、相手に悪意のあるソフトウェアをインストールさせてシステムに侵入しました。最近のハッカー行動の手法はさらに多様化しています:偽のビデオ通話、侵害されたソーシャルアカウント、会議ソフトウェアを装った悪意のあるプログラムなどです。
被害者は一見正常なCalendlyの会議リンクを受け取り、クリックすると偽の会議アプリをインストールするように誘導され、悪意のあるソフトウェアがウォレット、パスワード、リカバリーフレーズ、通信記録を盗みます。推定では、このような手法だけで、北朝鮮のハッカーグループは3億ドル以上を盗んでいます。
同時に、盗まれた資金の最終的な行き先も注目に値します。Stevenは、盗まれた資金は最終的に北朝鮮政府の管理下に入ると述べています。マネーロンダリングは組織内の専門チームによって実行され、彼らは自らミキサーを設立し、多くの取引所で偽の身分で口座を開設する一連の完全かつ複雑なプロセスを持っています:資金は盗まれた瞬間にミキサーを通じて洗浄され、プライバシーコインに交換され、その後異なるDeFiプロジェクトを通じてクロスチェーン転送され、取引所とDeFiの間で繰り返し流通します。
「このプロセスは約30日以内に完了し、最終的な資金は東南アジアのカジノ、KYCを必要としない小規模な取引所、そして中国香港や東南アジア地域のOTCサービスプロバイダーの手に渡り、現金化されます。」
では、この新しい脅威モデルに直面して、敵は攻撃者だけでなく参加者でもある中で、暗号業界はどのように対処すべきでしょうか?
Stevenは、大規模な資金を管理するプロジェクト側は専門のセキュリティチームを雇用し、チーム内に専任のセキュリティポジションを設けるべきであり、すべてのコアメンバーは厳格にセキュリティ規律を遵守する必要があると考えています。特に重要なのは、開発デバイスと財務署名を担当するデバイスは厳格に物理的に隔離されるべきです。彼は特に、Driftの今回の事件での重要な問題は、タイムロックのバッファメカニズムがすでに解除されていることだと指摘しています。「これはいつでも解除してはいけないものです。」
しかし、彼はまた、北朝鮮の情報機関が本当に深く潜伏したい場合、厳格なバックグラウンドチェックを行っても完全に識別することは難しいと認めています。しかし、セキュリティチームを導入することは依然として重要です。彼はプロジェクト側にブルーチーム(ネットワーク攻防における防御側のチーム)を導入することを提案しています。ブルーチームはデバイスや行動の安全性を向上させるだけでなく、重要なノードを継続的に監視し、異常な変動が発生した場合には、攻撃を即座に発見し反応することができます。「プロジェクト側の自らのセキュリティ能力だけでは、このレベルの攻撃に対抗するには不十分です。」
彼はさらに、現在の北朝鮮のサイバー戦能力は世界で5位にランクされており、アメリカ、ロシア、中国、イスラエルに次ぐものであると述べています。このレベルの敵に対しては、単にコード監査を行うだけでは不十分です。
結論
Drift事件は、現在のDeFiが直面している最大の脅威は市場や流動性だけでなく、セキュリティにおいてもコードの脆弱性を防ぐだけでは不十分であることを証明しています。なぜなら、スパイは身近に潜んでいる可能性があるからです。
攻撃者が半年間の時間をかけ、100万ドルを投入して関係を築くことを望む場合、従来のコード監査やセキュリティの防御線はまったく不十分です。そして、現在の調査によれば、この手法はすでに複数のプロジェクトで数年にわたって運用されている可能性が高く、まだ発見されていないだけです。
DeFiが去中心化とオープン性を維持できるかどうかはもはや核心的な問題ではなく、真の問題は:それがオープン性を維持しながら、包装された敵が内部に浸透するのを防ぐことができるかどうかです。
リスク警告
