ドリフトのその$270 百万の脆弱性に関するインシデントレポートを読んだばかりだけど、正直、ここまで洗練された手口はかなり異次元だ。これは単なるハッキング事件じゃない—北朝鮮の国家関連グループによる6ヶ月にわたる情報収集作戦で、彼らはほぼプロトコル内部に潜り込み、攻撃を仕掛ける前に長期間にわたり内部に入り込んでいた。

では、どうやってそれが実現したのか。2025年秋頃、この攻撃者たちは大手暗号通貨会議に偽装したクォントレーディング企業として登場した。彼らは技術的な能力も高く、信頼できる経歴を持ち、実際にドリフトのプロトコルについて理解していた。数ヶ月にわたり、彼らはまるで普通のオンボーディングのような手順を踏んだ—Telegramグループを作り、取引戦略やバルトの連携について本物の会話をし、自分たちの資金を$1 百万以上預け入れ、2月や3月には複数の国で開催された会議でドリフトの関係者と直接会うこともあった。

彼らが4月1日に攻撃を実行した時点では、すでにこの関係を築いてからほぼ6ヶ月が経っていた。これは、多くの攻撃者には持ち得ない忍耐力だ。

実際の侵害は2つの巧妙な手口を通じて行われた。まず、TestFlightを通じて偽のウォレットアプリをダウンロードさせることで、Appleのセキュリティ審査を回避した。次に、2025年末以降、セキュリティコミュニティが警告していたVSCodeとCursorの既知の脆弱性を悪用した。具体的には、エディタ内でファイルを開くだけで、警告なしに任意のコードを静かに実行できるというものだ。

デバイスが侵害されると、必要なマルチシグ承認を得るためのアクセス権も獲得できた。事前に署名されたトランザクションは1週間以上放置された後、4月1日に実行され、$270 百万以上の資金が1分未満で流出した。

捜査官たちはこれをUNC4736、別名AppleJeusやCitrine Sleetに追跡した。彼らはRadiant Capital攻撃の背後にいるのと同じグループだ。興味深いことに、会議に実際に登場した人物は北朝鮮国籍の者ではなかった。これらの攻撃者は、就労歴や職業ネットワークを巧妙に構築した完全な第三者の身分を展開し、デューデリジェンスを潜り抜ける。

この事件の本当に不気味な点は、DeFiにとっての広範な問いを投げかけることだ。攻撃者が6ヶ月間、100万ドルを費やして正当な存在感を築き、対面で会い、実資金を投入し、適切なタイミングを待つことをいとわないなら、どのセキュリティモデルがそれを捕らえられるのか？ドリフトは他のプロトコルに対して、アクセスコントロールの監査や、マルチシグに触れるすべてのデバイスを潜在的なターゲットとみなすよう警告している。しかし、現実には、多くの業界が依存しているマルチシグのガバナンスには、このレベルの洗練に対抗できる深刻な構造的弱点がある可能性がある。

これは、「安全」とは何かを規模の上で再考させるような事件だ。