米カリフォルニア州の法律事務所ギブス・ムラ(Gibbs Mura, A Law Group)は14日、ドリフト・プロトコル(Drift Protocol)への不正アクセスで被害を受けた投資家を代理として、サークル・インターネット・ファイナンシャル(Circle Internet Financial)に対するクラスアクション(集団訴訟)を提起した。
同事務所は、2026年最大の仮想通貨被害とされる今回のハックをめぐって訴訟を起こした最初の法律事務所としている。
事件の発端は2026年4月1日に発生したドリフトへの攻撃だ。ソラナ( SOL )ブロックチェーン上の最大規模の分散型パーペチュアル取引所であるドリフトから、約2億8500万ドル(約427億円)相当の資産がわずか12分間で流出し、その大半は数時間以内にイーサリアムにブリッジされた。
攻撃者は数カ月にわたり量的取引会社を装ってドリフト開発陣との信頼関係を構築した後、ソラナの「ダラブル・ノンス(durable nonces)」機能を悪用し、セキュリティ・カウンシルのメンバーに管理権限移転を含む取引に事前署名させた。
訴状の核心は、資金移動におけるサークルの対応にある。オンチェーン調査者のザックXBT(ZachXBT)は、盗まれた2億3000万ドル(約345億円)超のUSDCがサークルのクロスチェーン転送プロトコル・CCTP(Cross-Chain Transfer Protocol)を通じてソラナからイーサリアムへ100件超の取引で移送された際、サークルが資金凍結の権限を持ちながら約6時間にわたって何ら措置を取らなかったと批判した。
ギブス・ムラは、サークルがこれまでにも複数の大規模ハック事案で同様の不作為を繰り返してきたと主張している。
攻撃の技術的手口も注目を集めている。攻撃者はCVT(CarbonVote Token)と呼ばれる偽トークンを作成し、わずか数百ドルの流動性と見せかけの取引履歴でオラクル価格を操作。管理権限を掌握した後、CVTを担保として実資産を引き出した。
ブロックチェーン分析会社エリプティック(Elliptic)は、攻撃者のオンチェーン行動がこれまで北朝鮮に帰属された手口と一致するとしており、2024年10月のラディアント・キャピタル(Radiant Capital)ハックと同一の脅威アクターによる可能性を指摘している。
北朝鮮は2025年だけで約20億ドルの仮想通貨を窃取したとされ、世界の仮想通貨盗難額のおよそ60%を占めるとチェイナリシス(Chainalysis)は報告している。
今回の訴訟は、DeFiプロトコルのセキュリティ責任にとどまらず、ステーブルコイン発行体が不正流通を防ぐ義務を負うかどうかという法的論点にも踏み込んでおり、業界全体の規範形成に影響を与えうる事案として注視されている。
