dex.jp
Solanaの「Durable Nonce」悪用でDriftから2.7億ドル流出
Durable Nonce·12分で読める

Solanaの「Durable Nonce」悪用でDriftから2.7億ドル流出

SSatoshi.K(dex.jp編集部)公開日: 2026-04-03

📋 この記事のポイント

  • 1ハードウェアウォレットやオフライン署名: 秘密鍵がインターネットから隔離されたハードウェアウォレットを使用する場合、トランザクションの署名には時間がかかることがあります。Durable Nonceを使用することで、署名プロセスが完了するまでトランザクションの有効性が保証され、焦ってオンラインにする必要がなくなります。
  • 2機関投資家向けカストディソリューション: 複数の関係者による承認や複雑な内部プロセスが必要な機関投資家の場合、90秒という短い期間内にトランザクションを完了させることは困難です。Durable Nonceは、必要な全ての承認が得られるまでトランザクションを有効な状態に保つことを可能にします。
  • 3複雑なマルチシグ(多重署名)プロセス: 大規模な資金移動やプロトコルの重要な変更には、複数の署名者による承認が必要となるマルチシグウォレットがよく利用されます。Durable Nonceを用いることで、各署名者が自身のタイミングで署名を行い、最終的にトランザクションが構築・提出されるまでその有効性を維持できます。これは、セキュリティを強化しつつ、運用上の柔軟性を高める上で不可欠な機能です。
  • 4運用セキュリティの最優先: マルチシグウォレットやプロトコルの管理権限を持つシステムにおける運用プロセスは、極めて厳格である必要があります。承認フローの明確化、異常検知メカニズムの導入、承認内容の二重確認など、ヒューマンエラーやソーシャルエンジニアリングのリスクを最小限に抑えるための対策が不可欠です。
  • 5Durable Nonce利用の慎重な見直し: Durable Nonceは有用な機能ですが、その「無期限の有効性」は両刃の剣です。特に、プロトコルの管理者権限に影響を与えるようなトランザクションにDurable Nonceを使用する際は、そのトランザクションの内容、実行が許可される条件、承認後の取り消し不能性などを徹底的に確認し、リスク評価を行うべきです。可能な限り、有効期間を制限する、または特定の条件が満たされた場合にのみ有効化されるような代替手段を検討することも重要です。
ポストLINE

Solanaブロックチェーンを基盤とする主要な分散型取引所(DEX)であるDrift Protocolは、2026年4月2日に前例のない攻撃を受け、2億7,000万ドル(約400億円)以上が流出しました。この事件は、従来のスマートコントラクトのバグや秘密鍵の漏洩によるものではなく、Solanaの正当なトランザクション機能である「Durable Nonce(耐久性のあるナンス)」が悪用された結果です。本記事では、Durable Nonceの仕組み、その正当な利用目的、そしていかにしてこの機能が悪用され、Drift Protocolから大規模な資産流出につながったのかを詳細に解説します。この事件は、利便性とセキュリティのトレードオフ、特にマルチシグ運用の脆弱性を浮き彫りにし、DeFi業界全体に新たな運用セキュリティの重要性を示唆しています。

Solanaの「Durable Nonce」とは何か?

Solanaブロックチェーン上でのトランザクションは、通常、「最近のブロックハッシュ(recent blockhash)」と呼ばれる一時的な識別子を含んでいます。このブロックハッシュは約60秒から90秒で期限切れとなるため、その時間内にトランザクションがネットワークに提出されなければ無効となります。この仕組みは、古いトランザクションが悪意を持って再実行されるのを防ぐための重要な安全機能として機能します。

しかし、「Durable Nonce」は、この一時的なブロックハッシュの制約を克服するために設計された特別な機能です。Durable Nonceを使用するトランザクションは、期限切れになるブロックハッシュの代わりに、特別なオンチェーンアカウントに保存された固定の「ナンス(nonce)」値を使用します。このナンスは、トランザクションが実際にネットワークに提出されて実行されるまで、実質的に「無期限に有効」な状態を維持します。Durable Nonceトランザクションを構築する際には、最初にAdvanceNonceAccountという命令を含める必要があり、これによってナンスアカウントの状態が適切に更新されます。

この機能の存在は、特定の状況下でトランザクションの柔軟性と信頼性を向上させることを目的としていますが、その無期限の有効性という特性が、今回のDrift Protocolの攻撃において悪用されることになりました。

Durable Nonceの正当な利用目的と利便性

Durable Nonceは、Solanaエコシステム内での特定のユースケースにおいて、極めて重要な利便性を提供します。その主な目的は、トランザクションの署名からネットワークへの提出までの間に時間的な制約があるシナリオに対応することです。

例えば、以下のようなケースでDurable Nonceは威力を発揮します。

  • ハードウェアウォレットやオフライン署名: 秘密鍵がインターネットから隔離されたハードウェアウォレットを使用する場合、トランザクションの署名には時間がかかることがあります。Durable Nonceを使用することで、署名プロセスが完了するまでトランザクションの有効性が保証され、焦ってオンラインにする必要がなくなります。
  • 機関投資家向けカストディソリューション: 複数の関係者による承認や複雑な内部プロセスが必要な機関投資家の場合、90秒という短い期間内にトランザクションを完了させることは困難です。Durable Nonceは、必要な全ての承認が得られるまでトランザクションを有効な状態に保つことを可能にします。
  • 複雑なマルチシグ(多重署名)プロセス: 大規模な資金移動やプロトコルの重要な変更には、複数の署名者による承認が必要となるマルチシグウォレットがよく利用されます。Durable Nonceを用いることで、各署名者が自身のタイミングで署名を行い、最終的にトランザクションが構築・提出されるまでその有効性を維持できます。これは、セキュリティを強化しつつ、運用上の柔軟性を高める上で不可欠な機能です。

このように、Durable Nonceは、セキュリティと運用上の都合から「即時性」を犠牲にせざるを得ない状況において、トランザクションの信頼性を保証するための重要なインフラストラクチャとして設計されています。

Drift Protocol攻撃の概要:従来のハックとの違い

Drift Protocolに対する今回の攻撃は、一般的なDeFiプロトコルのハックとは性質が大きく異なります。通常、DeFiプロトコルへの攻撃は、スマートコントラクトコードの脆弱性、フラッシュローン攻撃による市場操作、オラクル(価格フィード)の不正操作、あるいはプロジェクト運営者の秘密鍵の直接的な窃盗などが主な原因となります。しかし、Driftのケースでは、これらのいずれも当てはまりませんでした。

CoinDeskの報道によると、Drift Protocolのコード自体にはバグや脆弱性は存在しませんでした。攻撃者は、Solanaの基盤技術の欠陥を突いたわけでも、Driftのスマートコントラクトを技術的に破ったわけでもありません。その代わりに、攻撃者はSolanaの正当な機能である「Durable Nonce」を悪用し、ソーシャルエンジニアリングと運用上の弱点を突くことで、プロトコルの管理権限を乗っ取ったのです。

この攻撃は、DeFiセキュリティの脅威が、純粋な技術的脆弱性から、運用プロセス、マルチシグガバナンス、そして人間の要素を標的とする、より巧妙なソーシャルエンジニアリングへとシフトしていることを明確に示しています。これは、技術的な堅牢性だけでなく、プロトコルの運用体制全体のセキュリティがこれまで以上に重要になっているという警鐘と捉えるべきでしょう。

攻撃手口の詳細:マルチシグ承認と長期実行型トランザクション

Drift Protocolへの攻撃は、その手口の巧妙さにおいて特筆すべきものです。攻撃者は、Driftの運用を司る5人構成のセキュリティ評議会が管理するマルチシグウォレットを標的としました。この評議会は、プロトコルに対する重要な管理操作を行うための権限を持っていました。

具体的な攻撃の流れは以下のようになります。

  1. 誤解を招く承認の獲得: 攻撃者は、何らかのソーシャルエンジニアリングの手法を用いて、Driftのセキュリティ評議会のメンバーのうち、少なくとも2人から「誤解を招く承認」を得ました。この承認は、直ちに実行されるものではなく、特定の目的のために行われるものと偽装された可能性があります。
  2. Durable Nonceによるトランザクションの準備: 攻撃者は、この事前に得た承認を利用し、プロトコルの管理権限を奪うための悪意あるトランザクションを構築しました。この際、SolanaのDurable Nonce機能が悪用され、トランザクションはすぐに提出されることなく、「無期限に有効」な状態に保たれました。
  3. 長期的な潜伏と実行: 事前署名されたトランザクションは、Durable Nonceによって約1週間以上にわたり有効なまま保持されました。署名した評議会メンバーは、そのトランザクションが後の異なる文脈で、意図しない形で実行されることを予期していませんでした。
  4. プロトコル管理者権限の掌握と資金流出: 準備が整った後、攻撃者は事前に署名されたDurable Nonceトランザクションを実行しました。このトランザクションによってプロトコルの管理者権限が攻撃者の手に渡り、その直後にDrift Protocolから2億7,000万ドル以上の資金が流出しました。流出の実行自体は1分未満という極めて短時間で行われましたが、その準備には1週間以上が費やされたとされています。

この事件の決定的なポイントは、マルチシグの署名者が一度承認を与えてしまうと、Durable Nonceの特性上、その承認を「取り消す手段がなかった」ことです。これは、Durable Nonceが持つ利便性が、悪用された場合には致命的なリスクとなり得ることを示しています。

被害状況と資金の追跡

Drift Protocolからの資金流出は、少なくとも2億7,000万ドルという巨額に達し、これは2026年に入ってからでも有数の大規模なDeFiハッキング事件となりました。この流出により、Drift Protocolの全てのユーザー預金が影響を受けたことが確認されています。

流出した資産は、その追跡を困難にするために複数の経路を経由しました。攻撃者は、NEAR Protocol、Backpack、Wormholeといったクロスチェーンブリッジを利用して、資産を異なるブロックチェーンネットワーク間で移動させました。さらに、Tornado Cashのようなプライバシーミキサーサービスを利用することで、資金の出所や最終的な移動先を特定することをさらに難しくしました。

ブロックチェーン分析企業であるEllipticは、今回のDrift Protocolへの攻撃と、北朝鮮に関連するサイバー犯罪グループとの間に何らかの関連性がある可能性を指摘しています。もしこれが事実であれば、国家レベルのアクターがDeFiプロトコルを標的としているという、新たな脅威の側面が浮上することになります。

Drift Protocolは、攻撃発覚後、全ての預金および引き出し機能を一時停止し、複数のセキュリティ企業、クロスチェーンブリッジ、および取引所と協力して事態の収拾と残された資産の保護に努めています。

DeFiプロトコルが学ぶべき教訓と対策

Drift Protocolの事件は、DeFiプロトコルが直面するセキュリティ上の課題が、もはやスマートコントラクトのコード監査だけにとどまらないことを明確に示しています。この事件から得られる主要な教訓と、今後のDeFiプロトコルが取るべき対策は以下の通りです。

  • 運用セキュリティの最優先: マルチシグウォレットやプロトコルの管理権限を持つシステムにおける運用プロセスは、極めて厳格である必要があります。承認フローの明確化、異常検知メカニズムの導入、承認内容の二重確認など、ヒューマンエラーやソーシャルエンジニアリングのリスクを最小限に抑えるための対策が不可欠です。
  • Durable Nonce利用の慎重な見直し: Durable Nonceは有用な機能ですが、その「無期限の有効性」は両刃の剣です。特に、プロトコルの管理者権限に影響を与えるようなトランザクションにDurable Nonceを使用する際は、そのトランザクションの内容、実行が許可される条件、承認後の取り消し不能性などを徹底的に確認し、リスク評価を行うべきです。可能な限り、有効期間を制限する、または特定の条件が満たされた場合にのみ有効化されるような代替手段を検討することも重要です。
  • ソーシャルエンジニアリング対策の強化: 攻撃者は、技術的な脆弱性ではなく、人間の心理を巧みに操るソーシャルエンジニアリングにますます注力しています。プロトコルの運営チーム全体に対するセキュリティ意識の向上、フィッシング詐欺や偽装されたコミュニケーションに対するトレーニングが必須となります。疑わしい要求は常に複数の経路で確認する文化を醸成することが求められます。
  • マルチシグ設定の多層防御: 承認に必要な署名数を増やすだけでなく、承認されたトランザクションが実際に実行されるまでの間に、内容の変更がないかをチェックするメカニズムや、特定の条件下でのみ実行を許可するようなタイムロック機能などの多層的な防御策を検討する必要があります。

この事件は、DeFiのイノベーションが加速する一方で、運用面でのセキュリティがその進化に追いついていない可能性を示唆しており、業界全体でこれらの課題に真剣に取り組む時期に来ていることを強く訴えかけています。

Solanaエコシステムへの影響と将来の課題

Drift Protocolへの攻撃は、Solanaブロックチェーン自体の基盤技術の欠陥に起因するものではありませんでしたが、Solanaエコシステム全体に大きな影響を与え、将来的な課題を提起しました。この事件は、特定のL1ブロックチェーンが提供する強力な機能が、それを利用するアプリケーション層でどのように悪用され得るかを示す事例となりました。

Solanaは、高速トランザクション処理と低手数料を特徴とする高性能ブロックチェーンとして知られています。Durable Nonceも、このようなパフォーマンス志向の設計思想の中で、特定の利用者の利便性を高めるために導入された機能です。しかし、今回のDriftの事例は、いかに強力で正当な機能であっても、その設計上の特性(この場合は無期限の有効性)が、運用上の不注意や悪意ある意図と結びつくことで、壊滅的な結果を招き得るかを示しました。

今後、Solanaの開発者コミュニティや関連プロトコルは、Durable Nonceのような二面性を持つ機能について、その利用ガイドラインをさらに強化し、潜在的なリスクについての啓蒙活動を推進する必要があるでしょう。また、将来的にDurable Nonceの設計に何らかの修正が加えられる可能性も考えられます。例えば、無期限ではなく、より長いが有限の有効期間を設定する、あるいは特定の条件下で署名者が承認を取り消せるメカニズムを導入する、といった検討が行われるかもしれません。

この事件は、ブロックチェーン技術が成熟するにつれて、開発者は単に機能を実装するだけでなく、それがもたらす潜在的な悪用経路や運用リスクまでを深く考慮する責任があることを、改めて示唆しています。Solanaエコシステムが持続的に成長するためには、技術革新と並行して、その上に構築されるアプリケーション層のセキュリティと運用レジリエンスをいかに高めていくかが、喫緊の課題となるでしょう。

まとめ

Drift Protocolから2億7,000万ドル以上が流出した事件は、SolanaのDurable Nonce機能の悪用によるものであり、DeFi領域における運用セキュリティとソーシャルエンジニアリング対策の喫緊の必要性を示しました。本件は、技術的なバグに起因するものではなく、正当な機能がその設計上の特性(無期限の有効性)を逆手に取られた事例として、今後のDeFiプロトコル開発者や運用者にとって重要な教訓となります。利便性の追求とセキュリティの確保は常にバランスが求められ、特にマルチシグシステムにおいては、承認プロセスの厳格化と透明性の向上が不可欠です。この事件は、DeFiプロジェクトが技術的な堅牢性に加えて、運用ガバナンスと人的要素に対する徹底したセキュリティ戦略を構築することの重要性を再認識させるものです。

ポストLINE

参考ソース

関連記事

米暗号資産法案とステーブルコイン規制:2026年最新動向
暗号資産規制

米暗号資産法案とステーブルコイン規制:2026年最新動向

Uniswap Foundation、2025年末に約130億円の資産を保有:DEXエコシステムを強化
DEX

Uniswap Foundation、2025年末に約130億円の資産を保有:DEXエコシステムを強化

グレイスケールが語るトークン化の波:DEX/DeFi投資戦略
トークン化

グレイスケールが語るトークン化の波:DEX/DeFi投資戦略

CoinDesk 20 指数動向:AVAXとHBARの躍進を深掘り
DeFi

CoinDesk 20 指数動向:AVAXとHBARの躍進を深掘り