19283746565748392億8500万ドルが12分で流出したのは、バグによるものではなく、システムが人間を過信した結果です。

2026年4月1日、Solana上で最大のパーマネントDEXであるDrift Protocolが3億8500万ドルの攻撃を受けました。攻撃前の総ロックされた資産は$550M 程度で、その半数以上が数分で実質的に消失しました。

重要なのはこれです：コードレベルで何も壊れていませんでした。スマートコントラクトのバグもありませんでした。システムは設計通りに動作しました。

攻撃者は約6ヶ月かけてアクセスを構築しました。2025年末に正当な取引会社を装い、実際の会議に参加し、技術的な議論を行い、さらに$1M 以上をエコシステムに投入して信用を獲得しました。時間をかけて信頼を得るとともに、共有コードリポジトリや偽のアプリを通じて悪意のあるツールを導入しました。これにより、ガバナンスに接続されたデバイスを侵害できました。

そこから、コードではなくガバナンス層を狙ったのです。

Driftはタイムロックのない2-of-5マルチシグを採用しており、2人の署名者が即座に管理操作を承認できました。攻撃者はこれを悪用し、Solanaの耐久性ナンスという機能を使って署名済みトランザクションを無期限に有効に保つことで、事前に承認を得ました。これらの承認は攻撃の数週間前に収集され、その後取り消すことはできませんでした。

同時に、攻撃者はCVTという偽のトークンを作成しました。7億2.85億トークンを発行し、最小限の流動性を追加し、ウォッシュトレーディングを行って実在する$1 資産のように見せかけました。プロトコルのオラクルシステムは、この価格を有効と認識しました。なぜなら、厳格な流動性や検証チェックがなかったからです。

準備が整うと、実行は約12分で完了しました。

事前承認されたトランザクションを使い、ガバナンスを掌握し、偽のトークンを担保として登録、独自のオラクルで価格を操作し、引き出し制限を引き上げてリスク管理を事実上排除しました。その後、偽の担保を預け、多数のボールトで実資産を借り入れました。

合計31のトランザクションで、USDC、ETH、SOLベースのトークンなどを含む約$285 百万の資産が流出しました。

数時間以内に資金はチェーン間を移動されました。攻撃者は資産をUSDCにスワップし、100以上のトランザクションを通じてEthereumにブリッジし、約12万9000ETHに換金、その後複数のウォレットに資金を分散させました。

この攻撃は、近年暗号エコシステムから$200M 以上を盗んだラザルスグループと関連付けられています。

これはブロックチェーン技術の失敗ではありません。ガバナンス設計と人間の信頼の失敗です。

それは次の要素の組み合わせでした：

• 長期的なソーシャルエンジニアリング
• 事前承認されたガバナンスアクセス
• システムチェックを通過した偽の担保
• 遅延なく即時実行される仕組み