Driftのこの一撃は、業界が最も避けたい傷に切り込んだ。
4月1日、エイプリルフール。
ソルアナチェ上で最大のパーペチュアル契約取引所であるDrift Protocolが空っぽにされているところであり、コミュニティの最初の反応は「良いエイプリルフールのジョークだね。」だった。
これはジョークではない。午後1時30分頃、チェーン監視アカウントのLookonchainとPeckShieldがほぼ同時に警報を発令した。HkGz4Kで始まる未知のウォレットが、Driftの金庫から驚異的な速度で資産を引き出しているという。最初の取引は4,100万枚のJLPトークン、価値は1億5500万ドル。直後に5,160万USDC、12.5万WSOL、16.4万cbBTC……十数種類の資産が、栓を抜かれた浴槽の水のように次々と流出した。
1時間。金庫資産が3億900万ドルから4100万ドルに減少。TVLの半分以上が蒸発した。
DriftチームはX上で次のような、異例に切実なトゥートを投稿しました:「Drift Protocolが積極的な攻撃を受けています。預金と引き出しを一時停止しています。私たちは複数のセキュリティ企業、クロスチェーンブリッジ、取引所と連携して事態の収束を図っています。」
そして、暗号通貨の歴史に刻まれることになる補足:「これはエイプリルフールのジョークではありません。」
一つの鍵が、すべての扉を開いた
Driftの盗難額については、情報源によって異なります。PeckShieldは約2億8500万ドルと推定し、Arkhamは2億5000万ドル以上と報告しています。CertiKの初期評価は約1億3600万ドルです。しかし、どの数字が正しいとしても、これは2026年における最大のDeFiセキュリティイベントです。
数字よりも注目すべきは、攻撃の手法である。
PeckShieldの創設者である蒋旭憲はDecryptに対して、Driftの背後にある管理者キーは「明確に漏洩または攻撃された」と明言した。チェーン上での研究者が構築した攻撃の図像によると、ハッカーはDriftプロトコルへの特権的アクセスを取得し、資金庫の資金移動を制御した。
言い換えれば、洗練されたスマートコントラクトの脆弱性の悪用も、ランディングローン攻撃も、オラクルの操作もありません。最も原始的で古くからのセキュリティ失敗、つまり誰かが秘密鍵を紛失しただけです。
さらに不安を招く詳細として、攻撃者は臨機応変に行動したわけではありません。チェーン上データによると、このウォレットは攻撃発生の8日前にNear Intentsを通じて初期資金を受け取り、その後長期間沈黙していました。攻撃の1週間前には、Drift金庫から2.52ドルという微小な送金を受け取っており、これは試しの行動、つまり「ノック」でした。
一週後、ドアが蹴り開けられた。
暗号通貨版Robinhoodの崩壊
ドリフトの共同創業者であるシンディ・リオウにとって、4月1日の悪夢にはさらに残酷な背景があった。
このマレーシア華人起業家の物語は、かつてSolana DeFiにおける最も感動的な成功物語の一つだった。2016年に中韓間のビットコインアービトラージからスタートし、自社ファンドを運営し、イーサリアム上でデリバティブプロジェクトを手がけ、2021年にはDavid Luと共にDriftを設立し、Solanaの速度優位性を活かしてオンチェーン永続契約に賭けた。
タイムラインを見ると、Driftはほぼすべての波を的確に捉えてきた。2024年にはPolychainとMulticoinが主導する2回の資金調達を実施し、合計5,250万ドルを調達。Polymarketに挑戦する予測市場をリリースし、50倍レバレッジを導入。TVLは5億5,000万ドルを超え、累計取引量は500億ドルを突破した。LeowはFortuneのインタビューで、野心的なビジョンとして「暗号資産版Robinhood」を目指すと述べた。
この比喩は今読むと、複雑な気持ちになる。Robinhoodの核心的な約束は、一般の人々にウォールストリートの金融ツールを提供することだ。Driftの核心的な約束は、ユーザーがチェーン上で「非預託」の取引体験を得られることで、あなたの資金は誰の手も介さず、コードとのみやり取りする。
しかし、コードの背後には管理者鍵が存在します。そして、この鍵の安全性は最終的に暗号学ではなく、人間に依存しています。
さらに、神経を刺すような歴史的な偶然がここにあります。2022年、Drift v1時代には、資金庫が空にされる事故が発生していました。チームはその後、非常に詳細な技術レポートを作成し、攻撃者が1つの取引で資金庫全体を空にする方法を示す概念実証コードまで公開しました。その事故による損失は1,450万ドルでしたが、チームは自らの資金でユーザー全員に全額補填しました。
4年後、同じ悪夢が20倍の規模で再現された。
分散化への信念、集中化の弱点
Driftから視野を広げると、不快なパターンが形成されつつあることがわかります。
2025年初、Resolv LabsのAWSキー管理サービスが攻撃され、攻撃者は特権キーを用いて大規模なUSRステーブルコインの鋳造を承認し、プラットフォーム間で連鎖的な損失を引き起こした。同年、2025年全体の暗号資産盗難総額は34億ドルに達し、過去最高を記録した。Chainalysisの報告は、最も破壊的な事件がインフラレベルで発生しているという傾向の転換を特に指摘している。攻撃された開発者マシン、クラウドに保存された単一の鋳造キー、ソーシャルエンジニアリングによるフィッシングで奪われた署名プロセス——これらが実際に資金を吸い取るブラックホールである。
今すぐDriftを追加してください。
これらの事例を並べて見ると、ほぼ避けられない結論があります:プライベートキーのセキュリティが、DeFiにおける最大のシステムリスクとして、スマートコントラクトの脆弱性に取って代わったということです。
ここには、数十億ドルを飲み込むほど大きな認知のギャップがあります。
DeFiプロトコルが外部に語る物語は「分散化」、「非預託」、「信頼不要」です。あなたの資産はコードによって保管され、誰もあなたの資金に触れることができません。ユーザーはこの物語を聞き入れ、資金をこれらのプロトコルに預け、自分は「数学と向き合っている」と思っています。
しかし現実には、ほぼすべての稼働中のDeFiプロトコルには、admin key、アップグレード権限、資金庫制御権、緊急停止スイッチといった1つまたは複数の「神の鍵」が存在する。これらの鍵は、問題発生時に緊急停止できるようにするためのセキュリティ目的であることもあれば、コントラクトロジックをアップグレードできるようにするための柔軟性目的であることもあるが、その本質は同じである:中心化された信頼ポイントが、デセントラライズドなナラティブに包まれている。
ユーザーは自分自身がコードとやり取りしていると信じているが、実際には、誰か、あるいはごく少数の人が間違いを犯さず、フィッシングに遭わず、脅迫されず、深夜にノートパソコンをカフェに置き忘れないと信じているのである。
これはDriftだけの問題ではなく、DeFi業界全体の構造的矛盾です。
2億8500万ドルはどこに行ったのか
攻撃者のチェーン上の動作は、プロフェッショナルな冷静さを備えていた。
Driftのウォレットから資産を引き出した後、彼は大部分のトークンを安定通貨に交換し、Wormholeクロスチェーンブリッジを通じて資金をイーサリアムネットワークに転送しました。イーサリアム上で、彼は一部の安定通貨を使って約19,913枚のETH(価値は約4260万ドル)を購入し、残りの資金は複数のウォレットアドレスに分散されました。
奇妙な細節として、攻撃者のウォレットにはFartcoinが大量に保有されており、このトークンの総供給量の約2.5%を占めている。先日、年間最大のDeFi盗難事件を起こしたハッカーが、放屁をテーマにしたメムコインを手にしている。
投稿時点では、Driftの入出金が継続して停止中であり、DRIFTトークンは攻撃前の約0.072ドルから約0.05ドルまで下落し、28%以上下落しました。歴史的高値の2.60ドルから見ると、累計で98%以上下落しています。Phantomウォレットは、Driftにアクセスしようとするユーザーに対して警告を表示しています。
Driftチームは、セキュリティ企業、クロスチェーンブリッジ運営者、および中央集権型取引所と協力して、盗まれた資金の凍結と追跡を試みていると述べています。しかし、過去の事例が示す通り、クロスチェーンブリッジを通じて移転され、複数のウォレットに分散された資金の回収は、期待薄です。
業界が真摯に向き合わなければならない問題
Driftのこの一撃は、業界が最も避けたい傷に切り込んだ。
Chainalysisは2025年末のレポートで、DeFiのセキュリティが「実質的な進歩」を遂げたと楽観的に述べており、TVLが1190億ドルまで倍増したにもかかわらず、DeFiのハッキング損失は減少している。Venus Protocolの事例は好ましいモデルとして挙げられ、セキュリティ監視システムが攻撃発生の18時間前に異常を検出し、プロトコルが迅速に運用を一時停止し、ガバナンスメカニズムが攻撃者の資金を凍結した結果、攻撃者は逆に損失を被った。
Driftはこの「進歩の物語」に水を差した。スマートコントラクトの監査を極限まで徹底し、最先端のオンチェーン監視を導入しても、管理者キーがソーシャルエンジニアリングやフィッシング、ブルートフォース攻撃によって漏洩すれば、すべてのセキュリティインフラは砂上の楼閣と化す。
DeFi業界は立ち止まって、正直に次の質問に答えなければならない:ユーザーに「非保管」と言うとき、あなたは一体何を意味しているのか?
プロトコルのadminキーがいつでも金庫内のすべての資産を移転できるのであれば、それは知らない誰かの銀行口座に資金を預けるのと何が違うのでしょうか?少なくとも銀行には保険があり、規制があり、法的救済手段があります。
答えがこれらの管理者権限を削除することではない可能性が高い。多くの場合、それらの存在は必要不可欠である。しかし少なくとも、業界はそれらが存在しないふりをやめるべきだ。マルチシグ管理、タイムロック、ハードウェアセキュリティモジュール、キーのローテーション……これらの技術的解決策はすでに長年にわたり存在しているが、多くのプロトコルは依然として数億ドルのセキュリティを、わずか数人の人間オペレーターの注意に頼っている。
「暗号通貨版 Robinhood」の夢は素晴らしい。しかし、それを実現する前に、もっと基本的な問いに答えるべきかもしれない:その鍵は誰が管理しているのか?