Ellipticは木曜日、今年最大となる2億8500万ドルのDrift Protocolエクスプロイトに、北朝鮮の国家支援DPRKハッカーグループの関与を示す「複数の指標」があると述べた。
この調査会社は、オンチェーン行動、資金洗浄手法、ネットワークレベルのシグナルを具体的に指摘しており、これらはすべて過去の国家関連攻撃と一致している。
Drift Protocolは、ハッキング以降トークンが40%以上下落し約0.06ドルとなっており、Solanaブロックチェーン上で最大の分散型パーペチュアル先物取引所である。
「確認されれば、この事件はEllipticが今年追跡した18件目のDPRK行為となり、これまでに3億ドル以上が盗まれたことになる」と報告書は述べている。
「これは、米国政府が兵器プログラムの資金調達と関連付けているDPRKによる大規模な暗号資産窃盗の継続的なキャンペーンである。DPRK関連のアクターは、近年数十億ドル規模の暗号資産窃盗の責任があると考えられている」とEllipticは付け加えた。
数時間前、Arkhamのデータは、2億5000万ドル以上がDriftから中間ウォレットに移動され、その後さまざまな他のアドレスに移されたことを示した。
12月、Chainalysisの報告書は、DPRKハッカーが2025年に記録的な20億ドルの暗号資産を盗んだことを明らかにし、14億ドルのBybit侵害を含め、前年比51%増加を示した。米国財務省は先月、北朝鮮が盗まれた資産を同国の大量破壊兵器プログラムの資金調達に使用していると述べた。
エクスプロイト自体に焦点を当てるのではなく、Ellipticの分析は馴染みのある作戦パターンを強調している。この活動は「計画的かつ慎重に段階的に実行された」ように見え、初期のテスト取引と事前配置されたウォレットがメインイベントに先行している。
報告書は、実行されると、資金は急速に統合・交換され、クロスチェーンでブリッジされ、より流動性の高い資産に変換されたと説明している。これは、制御を維持しながら起源を隠すように設計された構造化された反復可能な資金洗浄フローを反映している。
Ellipticが指摘する中心的な課題は、Solanaのアカウントモデルである。各資産は個別のトークンアカウントに保持されているため、単一のアクターに関連する活動が複数のアドレスにわたって断片化されて見える可能性がある。これらをリンクしないと、調査員は「攻撃者の活動の断片を見るリスクがあり、全体像は見えない」。
ここでEllipticの報告書が強調するのがクラスタリングアプローチであり、トークンアカウントを単一のエンティティに接続し、どのアドレスがスクリーニングされても露出を特定できるようにする。十数種類の資産タイプが関与する事件では、そのエンティティレベルのビューが重要になる。
このケースはまた、Ellipticが報告書で付け加えているように、資金洗浄が本質的にクロスチェーンになっていることを強調している。資金はSolanaからイーサリアムブロックチェーンなどに移動しており、Ellipticが「包括的なクロスチェーントレース機能」と説明したものの必要性を示している。
Source: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
