Ethereum トレーダーが $50M をアドレス ポイズニング詐欺で失う

高額のイーサリアムトレーダーが、巧妙なアドレスポイズニング攻撃の犠牲となり、約5000万USDTを失いました。これは、暗号通貨史上最も高額なコピペミスの一つとセキュリティ専門家が評する事件です。この事件は、Web3セキュリティ大手のSlowMistとWeb3 Antivirusによって分析されており、現代の暗号詐欺の高度化と、ユーザーの取引セキュリティの脆弱性の拡大を浮き彫りにしています。

アドレスポイズニングの仕組み：5,000万ドル攻撃

この攻撃は、アドレスポイズニングと呼ばれる欺瞞的な手法を悪用したもので、悪意のある者がトレーダーの取引履歴に偽のアドレスを挿入します。これらの偽アドレスは、正当な受取人のアドレスに非常に似たフォーマットで作られており、素早い確認時には人間の目ではほとんど区別できません。イーサリアムトレーダーが資金を送ろうとした際、誤って過去の取引履歴からポイズニングされたアドレスを選択し、攻撃者のウォレットへ取り返しのつかない約5000万USDTが送金されました。

この手法は、ユーザーの信頼する取引履歴の中で動作するため、従来のセキュリティ対策をすり抜けます。被害者は、そのアドレスの正当性を疑わず、自分の過去の取引記録に現れたため、疑念を抱きませんでした。

偽アドレス乗っ取りの仕組み

セキュリティ研究者によると、アドレスポイズニングは、攻撃者がターゲットのオンチェーン活動を監視し、高額取引パターンを特定することから始まります。適切なターゲットが見つかると、攻撃者は侵害されたノードやネットワーク操作を通じて、ターゲットの取引履歴に似たアドレスを挿入します。ポイズニングされたアドレスは、被害者が次の送金を行うまで待機状態となり、そのタイミングで自動的に詐欺が発動します。

この手法の特に危険な点は、フィッシングメールやスマートコントラクトの脆弱性、ウォレットの侵害を必要としないことです。むしろ、ユーザーの行動と、以前に確認済みのアドレスを信頼する自然な傾向を悪用しています。

コミュニティの反応とセキュリティへの影響

この5,000万ドルの損失は、イーサリアムおよび暗号通貨全体のコミュニティに広範な懸念を引き起こしています。業界関係者は、取引履歴が本質的に信頼できるデータソースであるという前提を見直し始めています。セキュリティ専門家は、記録から直接アドレスをコピーすることに対して明確な警告を発し、代わりに検証済みのQRコードやブロックチェーンエクスプローラーの内蔵検証、ハードウェアウォレットの確認プロトコルの使用を推奨しています。

ウォレット提供者や取引所は、アドレス検証の警告、多層確認の義務付け、高額取引のリアルタイム異常検知システムなどの追加対策を実装する圧力が高まっています。

今後の損失防止策：業界の推奨事項

業界のリーダーは、ユーザーに対して以下の予防策を採用するよう強調しています。

• 取引履歴だけに頼らず、複数の情報源でアドレスを検証する
• 信頼できるソースからのQRコードスキャンを利用し、手動入力やコピペの誤りを避ける
• 一定の閾値を超える送金にはハードウェアウォレットの確認を有効にする
• 新しい受取人アドレスには追加の確認を必要とするホワイトリスト機能を導入する
• 大きな取引を行う前に少額のテスト送金を行い、受取人の正確性を確認する

懸念される傾向：2024年に1億ドル超の被害も

この5,000万ドルの事件は、孤立したケースではありません。セキュリティ分析者は、2024年を通じてアドレスポイズニング詐欺による総被害額が1億ドルを超えると記録しており、その傾向は衰えていません。高額取引が主なターゲットであり、攻撃者は高いリターンを見込んで複雑な操作を行っています。

ウォレット提供者、ブロックチェーンプラットフォーム、取引所がインフラレベルで堅牢な検証プロトコルを導入しない限り、同様の大規模な損失は避けられないとセキュリティ専門家は警告しています。イーサリアムトレーダーの経験は、暗号通貨においては、ユーザーの警戒心と技術的な安全策が並行して機能しなければ、壊滅的な財務被害を防げないことを痛感させるものです。