- 人気の話題もっと見る
8.89K 人気度
57.11K 人気度
24.13K 人気度
5.91K 人気度
14.54K 人気度
- 人気の Gate Funもっと見る
- 時価総額:$0.1保有者数:10.00%
- 時価総額:$3.83K保有者数:10.00%
- 時価総額:$3.97K保有者数:20.01%
- 時価総額:$4.11K保有者数:30.18%
- 時価総額:$4.06K保有者数:10.00%
- ピン
8.89K 人気度
57.11K 人気度
24.13K 人気度
5.91K 人気度
14.54K 人気度
コピー&ペースト=家計破綻?ハッカーが0.001 USDTで125万を釣り上げ、送金記録が致命的な罠に!
2025年11月3日にCyvers Alertsが報告したアドレスポイズニング攻撃事件によると、ある被害者が誤って120万ドル以上のUSDTを攻撃者が管理するアドレスに送信したため、大きな損失を被りました。これは、暗号通貨分野におけるアドレスポイズニング攻撃の継続的な脅威と非常に似た操作パターンを反映しています。
🚨 攻撃の詳細
攻撃者はまず被害者のアドレスに0.001 USDTの小額取引を送信しました。これは典型的な「アドレス・ポイズニング」手法で、偽の取引記録を作成することによって、被害者がアドレスをコピーする際に攻撃者が制御する類似のアドレスを誤って使用させることを目的としています。初回の取引が行われてから4分後、被害者は誤って1,256,000 USDTを攻撃者のアドレスに送金しました。資金は攻撃者のウォレットに6時間静置され、リアルタイム監視システムを回避することを目的としている可能性があります。その後、事件が公にされる30分前に攻撃者は資金を他の資産(ETHやステーブルコインなど)に交換し、追跡や凍結を難しくしました。この攻撃プロセスは歴史的なケースと高度に一致しており、ユーザーの操作ミスとアドレスの類似性を利用した詐欺が行われています。
🔍 アドレスポイズニング攻撃の一般的なパターン
アドレスポイズニング(Address Poisoning)とは、ブロックチェーン取引の公開性を利用した巧妙に設計されたソーシャルエンジニアリング攻撃です。攻撃者はチェーン上の活動を監視し、高額資産のアドレスを特定した後、被害者のアドレスの先頭と末尾の文字に非常に似たウォレットアドレスを生成し、ゼロ価またはごく少額の取引(例えば0 USDTまたは0.001 USDT)を送信して被害者の取引履歴を汚染します。ユーザーがその後送金する際、アドレスハッシュ全体を注意深く確認せず、前後の文字列の比較に依存してしまうと、資金を攻撃者のアドレスに誤って送ってしまう可能性があります。この種の攻撃は2025年に多発する傾向があり、例えば2月には1人のユーザーが同様の手法で68,100 USDTを失い、5月にはあるクジラアドレスが3時間以内に同じ詐欺アドレスに260万USDTを連続して騙し取られました。
⚠️ 攻撃の背後にあるセキュリティの課題
アドレスポイズニング攻撃の成功は、現在の暗号通貨エコシステムにおける多重の脆弱性を暴露しました。一方で、ユーザーは十分なセキュリティ意識を欠いており、特に大規模な送金を行う際には、時間的なプレッシャーやインターフェースデザインの欠陥により、完全なアドレス検証を見落としがちです。もう一方で、オンチェーン取引の不可逆性により、資金が一度送出されると回収が難しくなり、攻撃者はクロスチェーン交換(例:USDTをETHに交換する)やDeFiプラットフォームでのミキシングを利用して、資金追跡の複雑さをさらに増大させています。BlockSecのような一部のセキュリティチームは「全体の資金マップ」技術を使用してクロスチェーン資金を追跡しようとしていますが、攻撃の即時性と匿名性により、予防が救済よりも重要です。
🛡️ ユーザーの保護と対策
このようなリスクを軽減するために、ユーザーは多層的な防護措置を講じるべきです。まず、いかなる送金の前にも、受取先アドレスの完全なハッシュ値(先頭と末尾の文字のみではなく)を必ず手動で照合し、ウォレットのアドレス帳機能を使用してよく使うアドレスを保存します。次に、取引確認の遅延設定を有効にし、大口送金のために二次確認のウィンドウを確保します。機関ユーザーの場合は、複数の署名者によるウォレットメカニズムを導入し、複数の承認者が共同で取引に署名することを求めます。もし攻撃を受けた場合は、即座にブロックチェーンブラウザを通じて取引ハッシュ、攻撃者のアドレスなどの情報を記録し、セキュリティ会社(Cyvers AlertsやBlockSecなど)に連絡して資金の凍結を試みる必要があります。同時に、コミュニティが共有する悪意のあるアドレスのブラックリストも、同様の攻撃の拡散を効果的に抑制することができます。
💎 まとめと業界の示唆
今回の125.6万ドルの損失事件は、アドレスポイズニング攻撃の低コスト、高リターンの特性を再び浮き彫りにしました。暗号通貨の普及率が向上するにつれて、この種の攻撃は経験の少ない個人や機関ユーザーをターゲットにし続ける可能性があります。業界は、ウォレットアドレスの検証基準をより厳しく推進する必要があります(例えば、完全なアドレスの表示を義務付けることやリスク警告プラグインを統合すること)し、ユーザー教育を強化し、「ゆっくり確認、すぐキャンセル」という操作原則を強調する必要があります。技術のアップグレードと意識の向上を組み合わせることで、ポイズニング攻撃の生存空間を根本的に縮小することができるのです。