18日間で6億ドル超被害、Lazarus GroupがついたDeFiの弱点とは
4月はなぜ「クリプト史上最悪のハック月」となってしまったのか
2026年4月、クリプト業界はわずか18日間で2件の超大型ハックに襲われました。4月1日のDrift Protocol事件で約2億8,500万ドル、4月18日のKelpDAO事件で約2億9,200万ドル。合計で約5億7,700万ドルが流出し、いずれも北朝鮮系のハッカー集団「Lazarus Group」(ラザルス)の関与が指摘されています。注目すべきは金額だけではありません。両事件とも「コードのバグ」ではなく、人的な信頼や運用設計、ブリッジの構造的弱点を突いた攻撃であった点に、業界の根深い問題が浮き彫りになっています。
何が起きたのか
最初に起きたのが、Solana最大のパーペチュアル取引所Drift Protocolの事件です。4月1日午後、約12分間で2億8,500万ドルが流出しました。攻撃者は3月12日に「CarbonVote Token(CVT)」という偽トークンを発行し、Raydium上でウォッシュトレードによりCVTの価格を約1ドルに維持。同時に、クオンツファームを名乗る人物がDriftチームと半年近く協業関係を築き、マルウェア入りコードを送付してきたとされています。さらにSolanaの「durable nonces」機能を悪用し、マルチシグ署名者に事前に取引を署名させていました。4月1日、その事前署名済み取引が一斉に実行されて管理者権限が奪われ、無価値のCVTを担保にUSDCやSOLが引き出されたのです。
4月18日には、リキッドリステーキングプロトコルKelpDAOが約2億9,200万ドルの被害を受けました。こちらはコードのバグではなく、LayerZeroベースのブリッジの「オフチェーン検証層」が攻撃されたものです。攻撃者は偽のク...

