著者:深潮 TechFlow
4月1日、エイプリルフール。
ソルanaチェーン上で最大のパーペチュアル契約取引所であるDrift Protocolが空掏られつつあり、コミュニティの最初の反応は「いい愚か者の日のジョークだね。」だった。
これはジョークではない。午後1時30分頃、チェーン監視アカウントのLookonchainとPeckShieldがほぼ同時に警報を発令した。ヘッダーが「HkGz4K」で始まる未知のウォレットが、Driftの金庫から驚異的な速度で資産を引き出しているという。最初の取引は4,100万枚のJLPトークン、価値は1億5500万ドル。直後に5,160万USDC、12.5万WSOL、16.4万cbBTC……十数種類の資産が、栓を抜かれた浴槽の水のように次々と流出した。
1時間。金庫資産が3億900万ドルから4100万ドルに減少。TVLの半分以上が蒸発した。
DriftチームはX上で次のような、異例に切実なトゥートを投稿しました:「Drift Protocolが積極的な攻撃を受けています。預金と引き出しを一時停止しました。私たちは複数のセキュリティ企業、クロスチェーンブリッジ、取引所と連携して事態の収束を図っています。」
そして、暗号通貨の歴史に刻まれる必然的な補足:「これはエイプリルフールのジョークではありません。」
一つの鍵が、すべての扉を開いた
Driftの盗難額については、情報源によって異なります。PeckShieldは約2億8500万ドルと推定し、Arkhamは2億5000万ドル以上と報告しており、CertiKの初期評価は約1億3600万ドルです。しかし、どの数値が正しいとしても、これは2026年における最大のDeFiセキュリティ事件です。
数字よりも注目すべきは、攻撃の手法である。
PeckShieldの創設者である蒋旭憲はDecryptに対して、Driftの背後にある管理者キーは「明確に漏洩または攻撃された」と明言した。チェーン上での研究者が構築した攻撃の図像によると、ハッカーはDriftプロトコルへの特権的アクセスを取得し、資金庫の資金移動を制御した。
言い換えれば、洗練されたスマートコントラクトの脆弱性の悪用も、フラッシュローン攻撃も、オラクルの操作もありません。最も原始的で古くからのセキュリティ失敗であり、誰かが秘密鍵を紛失しただけです。
さらに不安を招く詳細としては、攻撃者は臨機応変に行動したわけではありません。チェーン上データによると、このウォレットは攻撃発生の8日前にNear Intentsを通じて初期資金を受け取り、その後長期間活動を停止していました。攻撃の1週間前には、Drift金庫から2.52ドルという微小な送金を受け取っており、これは試しの行動、つまり「ノック」でした。
一週後、ドアが蹴り開けられた。
暗号通貨版Robinhoodの没落
ドリフトの共同創業者であるシンディ・リウにとって、4月1日の悪夢にはさらに残酷な背景があった。
このマレーシア華人起業家の物語は、かつてSolana DeFiにおける最も感動的な成功物語の一つだった。2016年に中韓間のビットコインアービトラージからスタートし、自社ファンドを運営し、イーサリアム上でデリバティブプロジェクトを手がけ、2021年にはDavid Luと共にDriftを設立し、Solanaの速度優位性を活かしたオンチェーン永続契約に賭けた。
タイムラインを見ると、Driftはほぼすべての波を的確に捉えてきた。2024年にはPolychainとMulticoinが主導する2回の資金調達を実施し、合計5,250万ドルを調達。Polymarketに挑戦する予測市場をリリースし、50倍レバレッジを導入。TVLは55億ドルを超え、累計取引高は500億ドルを突破した。LeowはFortuneのインタビューで、野心的なビジョンとして「暗号資産版Robinhood」を目指すと述べた。
この比喩は今読むと、複雑な気持ちになる。Robinhoodの核心的な約束は、一般の人々にウォールストリートの金融ツールを提供することである。Driftの核心的な約束は、ユーザーがチェーン上で「非預託」の取引体験を得られること、つまりあなたの資金は誰の手も介さず、コードとのみやり取りされることである。
しかし、コードの背後には管理者キーがあります。そして、このキーの安全性は最終的に暗号学ではなく、人間に依存しています。
もう一つ、神経を刺す歴史的な偶然があります。2022年、Drift v1時代には、資金庫が空にされた事故が発生していました。チームはその後、非常に詳細な技術レポートを作成し、攻撃者が1回の取引で資金庫全体を空にする方法を示す概念実証コードまで公開しました。その事故による損失は1,450万ドルでしたが、チームは自費でユーザー全員に全額補填しました。
4年後、同じ悪夢が20倍の規模で再現された。
分散化への信仰、集中化の弱点
Driftから視野を広げると、不快なパターンが形成されつつあることがわかります。
2025年初、Resolv LabsのAWSキー管理サービスが攻撃され、攻撃者は特権キーを用いて大規模なUSRステーブルコインの鋳造を承認し、プラットフォーム間で連鎖的な損失を引き起こした。同年、2025年通年で発生した暗号資産盗難総額は34億ドルに達し、過去最高を記録した。Chainalysisの報告は、最も破壊的な事件がインフラレベルで発生しているというトレンドの転換を特に指摘している。攻撃された開発者マシン、クラウドに保存された単一の鋳造キー、ソーシャルエンジニアリングによるフィッシングで奪われた署名プロセス——これらが実際の資金を飲み込むブラックホールである。
今すぐDriftを追加してください。
これらの事例を並べて見ると、ほぼ避けられない結論があります:プライベートキーのセキュリティは、スマートコントラクトの脆弱性に代わって、DeFiにおける最大のシステムリスクとなりました。
ここには、数百億ドルをも飲み込むほどの認知のギャップがあります。
DeFiプロトコルが外部に語る物語は「非中央集権化」、「非預託」、「信頼不要」です。あなたの資産はコードによって保管され、誰もがあなたの資金に触れることはありません。ユーザーはこの物語を聞き入れ、資金をこれらのプロトコルに預け、自分は「数学と取引している」と考えています。
しかし現実には、稼働中のほぼすべてのDeFiプロトコルに、admin key、アップグレード権限、資金庫制御権、緊急停止スイッチといった1つまたは複数の「神の鍵」が存在しています。これらの鍵は、問題発生時に緊急停止できるようにするためのセキュリティ目的であることもあれば、コントラクトロジックをアップグレードするための柔軟性を確保するためであることもあります。しかし、それらの本質は同じです:分散型の物語に包まれた、中心化された信頼ポイントです。
ユーザーは自分自身がコードとやり取りしていると信じているが、実際には、誰か、あるいはごく少数の人がミスをしない、フィッシングに遭わない、脅迫されない、深夜にノートパソコンをカフェに置き忘れないと信じているのである。
これはDriftだけの問題ではなく、DeFi業界全体の構造的矛盾です。
2億8500万ドルはどこに行ったのか
攻撃者のチェーン上の動作は、プロフェッショナルな冷静さを備えていた。
Driftのウォレットから資産を引き出した後、彼は大部分のトークンを安定通貨に交換し、Wormholeクロスチェーンブリッジを通じて資金をイーサリアムネットワークに転送した。イーサリアム上で、彼は一部の安定通貨を使って約19,913枚のETH(価値は約4260万ドル)を購入し、残りの資金は複数のウォレットアドレスに分散させた。
奇妙な細節として、攻撃者のウォレットにはFartcoinが大量に保有されており、このトークンの総供給量の約2.5%を占めている。先日、過去最大のDeFi盗難事件を成功させたハッカーが、放屁を名前に持つメムコインを手にしている。
投稿時点では、Driftの入出金が一時停止されており、DRIFTトークンは攻撃前の約0.072ドルから0.05ドル付近まで下落し、28%以上下落しました。過去の最高値2.60ドルから見ると、累計で98%以上下落しています。Phantomウォレットは、Driftにアクセスしようとするユーザーに対して警告を表示しています。
Driftチームは、セキュリティ企業、クロスチェーンブリッジ運営者、および中央集権型取引所と協力して、盗まれた資金の凍結と追跡を試みていると述べています。しかし、過去の事例が示す通り、クロスチェーンブリッジを経由して複数のウォレットに分散された資金の回収は、有望とは言えません。
業界が真摯に向き合わなければならない問題
Driftのこの一撃は、業界が最も避けたい傷に切り込んだ。
Chainalysisは2025年末のレポートで、DeFiのセキュリティが「実質的な進歩」を遂げたと楽観的に述べており、TVLが1190億ドルまで倍増したにもかかわらず、DeFiのハッキング損失は減少している。Venus Protocolの事例は好ましいモデルとして挙げられ、セキュリティ監視システムが攻撃発生の18時間前に異常を検知し、プロトコルが迅速に運用を一時停止し、ガバナンスメカニズムが攻撃者の資金を凍結した結果、攻撃者は逆に損失を被った。
Driftはこの「進歩の物語」に水を差した。スマートコントラクトの監査を極限まで徹底し、最先端のオンチェーン監視を導入しても、管理者鍵がソーシャルエンジニアリングやフィッシング、ブルートフォース攻撃によって漏洩すれば、すべてのセキュリティインフラは砂上の楼閣と化す。
DeFi業界は立ち止まって、正直に次の質問に答えなければならない:ユーザーに「非預託」と言うとき、あなたは一体何を意味しているのか?
プロトコルのadminキーがいつでも財布内のすべての資産を移転できる場合、それと、あなたが知らない誰かの銀行口座にお金を預けることの違いは何でしょうか?少なくとも銀行には保険があり、規制があり、法的救済手段があります。
答えがこれらの管理者権限を削除することではないかもしれない。多くの場合、それらの存在は必要不可欠である。しかし少なくとも、業界はそれらが存在しないふりをやめるべきだ。マルチシグ管理、タイムロック、ハードウェアセキュリティモジュール、キーのローテーション……これらの技術的解決策はすでに長年にわたり存在しているが、多くのプロトコルは依然として数億ドルのセキュリティを、わずか数人の人間オペレーターの注意に頼っている。
「暗号通貨版 Robinhood」の夢は素晴らしい。しかし、それを実現する前に、もっと基本的な問いに答えるべきかもしれない:その鍵は誰が保管しているのか?