2025年12月20日、ある暗号資産ユーザーがわずか1時間ほどの間に約5000万ドル(約77億5000万円、1ドル=155円換算)相当のテザー(USDT)を失った。セキュリティ企業やオンチェーンデータ分析企業が解析したところ、この損失は「アドレスポイズニング(address poisoning)」と呼ばれる巧妙な詐欺によるものであることが明らかになった。
Web3セキュリティ会社のWeb3 Antivirusによると、被害者はまず少額のテスト送金として数十ドル程度のUSDTをあるアドレスに送っていたが、その後に送信先アドレスをコピー&ペーストした際に誤って攻撃者が用意した偽のウォレットアドレスに送金してしまった。被害者が本来意図していた送信先アドレスと攻撃者のアドレスは非常に似ており、最初と最後の数文字が一致していたため、間違ったとみられる。これにより約4999万9950USDTが攻撃者のアドレスに送られた。
アドレスポイズニングとは?
アドレスポイズニングとは、ユーザーの過去の取引履歴に「毒された(poisoned)」偽のアドレスを混入させ、被害者に送金先としてそれを選択させる詐欺の手口だ。通常、ブロックチェーンアドレスはランダムな文字列で覚えにくいため、ユーザーは過去の履歴からアドレスをコピーするが、これを悪用して攻撃者は被害者が頻繁に使用する送金先アドレスと最初と最後の数文字がまったく同じ文字列の偽のアドレスを作成し、偽アドレスから被害者のウォレットに対し、価値がほぼゼロの暗号資産を勝手に送りつけ、履歴に表示させる。ユーザーが送金先に攻撃者のアドレスを誤って選ぶと資金が奪われることになる。これは、技術的な脆弱性ではなく、人間の行動に付け入る手口であり、防ぐことが非常に難しい。
盗まれた資金の動き
ブロックチェーン分析チームのSlowMist(スローミスト)の追跡調査によると、送金されたUSDTはすぐにイーサリアム(ETH)などに交換され、複数のウォレットに分散された後、一部の資金は匿名化ツールとして知られるTornado Cashを通じて資金洗浄が試みられたことが確認されている。これにより追跡が一層困難になっている。
被害者からのメッセージと要求
被害者はイーサリアムのブロックチェーンを通じて、ハッカーに対し直接メッセージを発信した。被害者は「すでに法執行機関および複数のサイバーセキュリティ機関と協力し、攻撃者の活動を24時間監視している」と強調し、攻撃者に対して盗まれた資産の98%の返還を要求している。交換条件として最大100万ドル(約1億5500万円)を「報奨金(ホワイトハッカーへの謝礼)」として提供する意向も示し、返還がなければ「無期限に追及する」と強く警告している。
この事件は単なる偶発的なミスによる損失ではなく、高度に計算された詐欺行為であり、アドレスポイズニングの危険性を改めて世界の暗号資産ユーザーに知らしめた。専門家は、今後も同様の詐欺が増加する可能性を指摘しており、ユーザー自身によるアドレスの慎重な管理や、ウォレットソフトウェア側による警告機能の強化などが急務だと警鐘を鳴らしている。
|文・編集:井上俊彦
|画像:Shutterstock
『NADA NEWS』に生まれ変わります!
12月下旬、“CoinDesk JAPAN” は新ブランド『NADA NEWS(ナダ・ニュース)』として新たに生まれ変わります。NADA NEWSは、ブロックチェーン、暗号資産、ステーブルコイン、RWAなど、デジタル資産分野に特化したニュースメディアです。
市場動向や政策・規制、企業の取り組みなどを多角的に捉え、国内外の最新動向を分かりやすく伝えていきます。
