Drift Exploit、警鐘を鳴らす:攻撃前に報告された役員交代と主要マルチシグの移行
Drift Exploit、警鐘を鳴らす:攻撃前に報告された役員交代と主要マルチシグの移行
2026年4月1日、SolanaのDeFiは再び信頼性の危機に瀕しました。エコシステムにおける主要なパーペチュアル取引所であるDrift Protocolが、セキュリティインシデントの発生を認め、調査員が大規模な資金流出を追跡する間、主要機能を停止しました。セキュリティモニターやメディアの初期推定によると、被害額は2億ドルから約2億8500万ドルに達し、2026年現在最大級のDeFiエクスプロイトの一つとなりました。(decrypt.co)
このインシデントを特に憂慮すべきものにしているのは、単に金額の大きさだけでなく、コミュニティで議論されている「運用上の」異常のリストが拡大していることです。タイムロックなしでの管理者権限のような署名権限、直前のマルチシグ移行、そしてインシデント発生時期に近いチームメンバーの変更の噂などです。(tw.theblockbeats.news)
この記事では、現在わかっていること、単に主張されていること、そして最も重要なこととして、「分散型」システムでさえキー管理層で失敗する可能性があるという、またしても繰り返される教訓からDeFiユーザーが何を学ぶべきかを解説します。
何が起こったのか(そして今日、責任を持って述べられること)
公表されている情報によると、Driftは不正な資金移動が検出された後、預け入れと引き出しを一時停止しました。複数のメディアは2億ドルを超える被害額を引用しており、一部では約2億8500万ドルと報じています。(techcrunch.com)
本稿執筆時点(2026年4月2日)では、これらの報告で根本的な原因が最終的に特定されていません。なぜなら、ユーザー保護は、イベントが以下に該当するかによって劇的に異なるからです。
- スマートコントラクトの脆弱性
- 秘密鍵/マルチシグ署名者の侵害
- ガバナンスまたはアップグレード権限の乗っ取り
- 上記が複合したもの
実際には、強力なキーが悪用されたという信頼できる証拠がある場合、特に損害を遅延させるための強制的な遅延メカニズムがない場合、市場は最悪のシナリオを「織り込む」傾向があります。
主要な懸念:タイムロックバッファーのない強力な署名キー
BlockBeatsの報告によると、AaveのリスクアドバイザーでもあるChaos Labsの創設者Omer Goldberg氏が引用した情報では、Driftのプロトコル署名キーは複数の高影響力な権限を持っており、決定的にタイムロック(または同様の遅延メカニズム)を欠いていたとされています。(tw.theblockbeats.news)
これが重要である理由:
- 署名キーが重要なパラメータを変更したり、安全モジュールを無効にしたり、資産をリダイレクトしたりできる場合、そのキーの侵害は、典型的な「エクスプロイト」というより、迅速な権限乗っ取りのように見える可能性があります。
- タイムロックがない場合、ユーザーとインテグレーターは、インシデントを「封じ込められた」状態と「全面的な資金流出」の分かれ目となることが多い防御的なウィンドウを失います。
タイムロックは単なる流行語ではありません。これは、特権的なアクションをスケジュールしてから実行するまでの最小遅延を導入し、エコシステムに検知し対応する時間を与える実用的な制御です。(docs.openzeppelin.com)
「1週間前の」マルチシグ移行:詳細が異常に見える理由
BlockBeatsはさらに、インシデントの1週間前に、Driftが元のマルチシグの署名者によって作成された新しいマルチシグアドレスに移行したと報告しました。この報告には特に異常な詳細が追加されています。作成者は新しいマルチシグに自分自身を署名者として追加せず、署名しきい値は**2/5(古い署名者1名 + 新しい署名者4名)**に変更されました。(tw.theblockbeats.news)
ガバナンスおよび運用セキュリティの観点から、これは調査官が通常Immediatelyに尋ねるいくつかの疑問を提起します。
-
大規模インシデントの直前にマルチシグの管理を移行した理由は? 単なる通常の署名者ローテーションである場合もあれば、侵害の懸念に対応した場合もあります。あるいは、どちらでもなく、タイミングが偶然だったということもあります。しかし、タイミングは常に精査されるべきです。
-
マルチシグの作成者はなぜ自分自身を除外したのか? benignな可能性(例:運用エンジニアが他者のためにインフラを展開する)もありますが、これは十分に異例なため、透明性があり監査可能な説明の必要性を高めます。
-
「プロトコルクリティカル」な権限に対して、2/5というしきい値は適切か? 低いしきい値は運用上の摩擦を減らすことができますが、攻撃者が悪用する必要のある独立した障害の数を減らすことにもつながります。マルチシグのセキュリティは単なる数学ではありません。署名者の独立性、鍵の保管方法、ガバナンスプロセスの規律も含まれます。(frameworks.securityalliance.org)
平易な言葉で言えば、プロトコルの最も強力な権限がわずか2つの承認で実行可能になり、タイムロックがない場合、システム全体の安全性は人間の鍵管理に tightly に結合されます。
役員/コアチームの交代の噂:「人的リスク」はオンチェーンリスクの一部である理由
同じBlockBeatsの記事は、Driftのコアチームメンバーが過去1ヶ月以内に退職した可能性があり、内部管理、鍵の引き継ぎ、リスク管理に関する懸念を引き起こしたというコミュニティの議論に言及しています。(tw.theblockbeats.news)
これはゴシップの問題ではなく、仮想通貨セキュリティにおけるよく知られた失敗モードに関するものです。
- **役割の drift(役割の変更、退職、アクセス失効にもかかわらず権限が残存する)**は、目に見えない単一障害点を作り出す可能性があります。
- 最悪の場合、鍵の管理が不明確になるのは;まさに明確さが必要な時(インシデント対応、署名者のローテーション、緊急一時停止の決定)です。
マルチシグが使用されている場合でも、署名者の選定、文書化、オフボーディングが高リスクの運用プロセスとして扱われていない場合、「セキュリティ境界」は依然として崩壊する可能性があります。
2025年~2026年のトレンド:DeFiの繰り返される「管理者キーの現実」
前回のサイクルで、DeFiはより高速に、より composable に、より機関投資家寄りになりましたが、プロトコルのセキュリティは依然として中央集権的なアップグレード権限と特権的な役割によって繰り返し損なわれています。特にSolanaプログラムは、明示的に制限または放棄されない限り、アップグレード権限を保持することが多く、そのため「管理者キーのリスク」は、あらゆる真剣なDeFi参加者にとって、コアなデューデリジェンス事項であり続けています。(solana.com)
したがって、Driftのインシデントは、孤立したイベントとしてではなく、より広範なパターンの1つとして理解されるべきです。
- スマートコントラクトは監査可能ですが、運用鍵管理は外部から継続的に検証するのが困難です。
- マルチシグは自動的に「分散型」ではありません。その安全性は、署名者の独立性、しきい値の選択、そしてタイムロックや監視のようなガードレールに依存します。
- TVLが2026年に高回転戦略に戻るにつれて、攻撃者は流動性を追跡し、特に特権的なアクションが迅速に実行できる場所を狙います。
Driftのようなインシデント後にユーザーが取るべきこと(実用的なチェックリスト)
Driftを直接または間接的に(ボルト、インテグレーション、またはSolana DeFi戦略商品経由で)使用した場合は、この状況を、より厳格なリスクプレイブックを実行するためのリマインダーとして扱ってください。
1) 間接的なエクスポージャーを再確認する
Driftに直接預けたことがなくても、サードパーティのプロトコルに資金をルーティングするインテグレートされたボルトや戦略商品を通じてエクスポージャーがある可能性があります。他のSolanaプロジェクトからの公開声明は、「影響なし」と「ボルト経由で部分的に影響あり」がどれほど迅速に乖離するかを示しています。(tw.theblockbeats.news)
2) 「常時オン」の承認とブラインドサインを減らす
多くの資金流出は、ユーザー(またはオペレーター)がプレッシャーの下でメッセージやトランザクションに署名したときにエスカレートします。承認が最小限に抑えられ、時間制限があり、簡単に取り消せる設定を優先してください。
3) DeFiに使用するホットウォレットから長期資金を移動させる
目的別にウォレットを分離してください。
- 日常的なDeFi使用のための「取引ウォレット」
- 長期保管のための「ボルトウォレット」 これはプロトコルレベルのエクスプロイトを防ぐものではありませんが、フィッシング、悪意のあるdApps、混乱したニュースサイクル中の偶発的な承認による被害範囲を減らします。
OneKeyのようなハードウェアウォレットがこの話にどのように(そしてどのようにフィットしないか)
ハードウェアウォレットは、すでに侵害されたプロトコルを修正することはできません。しかし、Driftで報告された警告サイン(強力なキー、マルチシグの変更、鍵管理の失敗の可能性)は、鍵管理の規律がユーザーとチームの両方にとって譲れないものである理由を強調しています。
DeFiユーザー(またはマルチシグ署名者)の場合:
- ハードウェアウォレットの使用は、侵害されたブラウザ、拡張機能、マルウェアが多い環境から秘密鍵を隔離するのに役立ちます。
- クリアなオンデバイスのトランザクション検証は、高ストレスな状況(エクスプロイトの「ライブ」ウィンドウでよく見られる要因)で誤ったアクションを承認する可能性を減らすことができます。
- チームにとっては、署名者デバイスの分離と一貫した署名手順の実施は、プロトコルが大量のユーザー資金を管理している場合の基本的な期待事項です。
OneKeyは、主要チェーン全体で安全な署名のためのクリプトネイティブなワークフローで広く使用されており、DeFiの根本的な仕組みを変更せずに自己保管を強化したいユーザーにとって実用的な選択肢となっています。
締めくくりの考え:DeFiセキュリティはますます「ガバナンスセキュリティ」に
Driftのインシデントはまだ分析中ですが、教訓はすでに馴染み深いものです。最も危険な脆弱性は、しばしばエキゾチックな暗号学的ブレークではなく、特権的なコントロールが、あまりに摩擦が少なく、国民が反応する時間がほとんどないまま、あまりに迅速に実行されることです。(tw.theblockbeats.news)
2026年のユーザーにとって、「どのチェーンか?」は、「誰がルールを変更できるか?」、「どれくらいの速さで変更できるか?」、「何かがうまくいかなかった場合にユーザーが逃げる時間を与えるメカニズムは何か?」ほど重要ではありません。
タイムロック、透明性の高いマルチシグガバナンス、検証可能なアップグレード制限が標準になるまで、あらゆる真剣なDeFi参加者は、プロトコルのリスクは鍵管理のリスクでもあると想定し、それに応じて計画を立てるべきです。(docs.openzeppelin.com)
