4/1エイプリルフールに事件は発生
様々な企業やプロジェクトのエイプリルフールネタがタイムラインに流れ、賛否両論がありつつも1年に1回の風物詩を楽しむことができます。
そんな空気の中、Solana DeFi最大級のPerp DEX「 Drift Protocol 」で2026年最大のエクスプロイトが発生しました。
公式X(@DriftProtocol)は「 これはエイプリルフールじゃない 」と強調。
ユーザーも嘘なのかエイプリルフールの冗談なのか、半信半疑になってしまうこのタイミングでエクスプロイトが発生してしまったことにより、上記のようなアナウンスを流す必要がありました。
被害額は
PeckShield推定$285M(約430〜450億円)
、Lookonchain/The Defiantなどは$270M前後と分析。
いずれにせよ2026年4月2日時点で
最大規模の被害事例
で、今年前半のDeFi被害総額(約$137M)を一撃で超える大きな事件です。
Drift Protocolとは?
DriftはSolana上で最大級の
無期限先物(Perp)DEX
です。
JLP(Jupiter LPトークン)など多資産を担保に高速取引が可能で、DeFiユーザーから非常に人気のプロトコルでした。
攻撃前のTVL(ロック総額)は 約830億円 超え。
Solana DeFiの代表格として、JitoSOLやmSOLなどのステーキング資産も扱い、毎日数億円規模の取引高を記録していました。
まさに「SolanaのPerpといえばDrift」と言われるほどの存在でした。
わずか12分で約430億円の被害
攻撃は
12分・31トランザクション
という驚異的な速さで完了しました。
Vault残高は約465億円 → 約62億円に激減(87%損失)
主な被害資産
・JLP:約234億円相当 ← 被害の半分以上
・USDC:約107億円
・その他:cbBTC、WETH、WBTC、dSOLなど
攻撃の流れ
これは スマートコントラクトのバグ ではなく、主な原因は 人間側のキー管理ミス と考えられます。
*以下は公式は現時点で原因については公表しておらず調査中となっており、セキュリティ系企業のレポートによるトランザクションに基づく解析情報となります
3週間前から準備:
攻撃者が無価値トークン「CVT(CarbonVote Token)」を大量にmint。Raydiumに流動性ほぼゼロ(数百円程度)のプールを作り、数週間wash tradingでSwitchboard Oracleの価格履歴を操作(CVTを数百億円相当に見せかける)。
攻撃当日(キー侵害):
Driftが最近移行した 2/5 Multisig(2人署名で実行) の旧署名者プライベートキーが盗まれました。 致命的だったのは timelock(実行遅延)が0秒 だったこと。即時Admin権限を完全に奪取されてしまいました。
12分で決着:
-
Admin権限でCVTを新しいSpot Marketとして登録
-
CVTを担保(collateral)として許可
-
全市場の引き出し制限を異常値(500兆レベル)に引き上げ
-
circuit breaker(安全装置)を全解除
-
偽CVTを大量depositして実資産(JLP/USDCなど)を無制限引き出し
攻撃者は即座にJupiterでswap → USDC集約 → Ethereumブリッジ(Wormhole/CCTP)してETH購入中です。
発生した影響
-
DRIFTトークン :即時20〜35%急落(現在$0.05前後で推移)
-
Solana DeFi全体 :Drift Vaultを使っていた戦略プロトコル(AcePro、Elemental、NX Financeなど)が連鎖被害
-
TVL :攻撃前約830億円 → 半分以下に激減
-
Phantomウォレットも警告表示が出るほど、ユーザー離れが加速中
この一件でSolana DeFi全体の信頼性が大きく揺らぎました。
2026年DeFiエクスプロイト被害額ランキング(4月2日時点)
1位:Drift Protocol(Solana)
日付:2026/4/1
被害額:
約430億円
種類:Perp DEX
(詳細は上記参照)
2位:Step Finance
日付:2026/1〜3月
被害額:約41〜45億円
種類:Treasury/Fee Wallet
主な原因:金庫ウォレットのプライベートキーが漏洩。攻撃者が直接アクセスして資金を外部送金した典型的な「人間側のキー管理ミス」ケースです。
3位:Truebit
日付:2026/1月
被害額:約40億円
種類:検証プロトコル
主な原因:古いスマートコントラクトに残っていた整数オーバーフロー脆弱性を悪用。価格計算ロジックが狂って不正引き出しが可能になってしまったコントラクトアップデート怠慢事件です。
4位:Resolv (USR)
日付:2026/1〜3月
被害額:約38億円
種類:Stablecoin Mint
主な原因:発行権限キーが侵害され、裏付けのない大量の偽USRトークンをミント。価格暴落と連鎖被害を引き起こした「ミント機能脆弱性」の教科書的事件です。
5位:SwapNet
日付:2026/1月
被害額:約20億円
種類:DEX
主な原因:スマートコントラクトの「任意呼び出し(Arbitrary Call)」脆弱性を突かれ、外部関数を自由に操作して資金を盗み出された監査不足ケースです。
まとめ
エイプリルフールの日に起きた2026年最大のDeFiハック、Drift Protocol約430億円の被害、Driftだけで今年前半の被害合計(約207億円)を上回る規模の被害となりました。
未だ公式発表は出ておらず、あくまでもセキュリティ系企業のオンチェーン解析による情報となりますが、この事件の原因はとてもシンプルでした。
Driftの管理者の秘密鍵が攻撃者に盗まれて、すぐに引き出せる設定になっていたことが原因であると考えられており、まさに「人間側のちょっとしたミス」で数百億円が一瞬でなくなってしまう現実を突きつけられた形です。
だからこそ、これからはプロジェクトを選ぶときに「管理者の鍵がしっかり守られているか」をちゃんと見極めることが大事になります。
どんなに人気で大きなプロジェクトでも、管理が甘いと一瞬で大損するリスクがある──この教訓はDeFi全体に重くのしかかっています。
