アドレスポイズニング:静かなる仮想通貨の脅威がユーザーから数百万ドルを奪う
スキャマーがデジタルな盲点を突く中、1回の取引で約70万ドルが消失
今週、仮想通貨の世界は、アドレスポイズニングと呼ばれる、ますます一般的な詐欺の被害に遭い、ある投資家が1回の取引で約70万ドルを失ったことで衝撃を受けました。この事件では、699,990 USDT (約699,971ドル) がBinanceではなく、スキャマーのウォレットに送金されました。これは、仮想通貨ユーザーが取引を管理する方法における危険な脆弱性を浮き彫りにしています。
「過去6か月で、このような攻撃が指数関数的に増加しているのを見てきました」と、アドレスポイズニング事件を追跡しているブロックチェーンセキュリティの研究者は述べています。「このケースで特に警戒すべきは、損失の規模と、それがどれほど簡単に防げたかということです。」
オンチェーンデータによると、被害者はBinanceアカウントに資金を入金しようとしましたが、正当な宛先とはわずか1文字異なる不正なアドレス (0x2c1134a046...6c7989c0b の代わりに 0x2c1133a557...b61c9d) に誤って送金してしまいました。
オンチェーンデータとは、ブロックチェーンの公開台帳に直接永続的に記録されたすべての情報を指します。これには主に、送信者と受信者のアドレス、取引額、タイムスタンプなど、すべてのブロックチェーン取引の詳細が含まれます。
ブロックチェーンの記録で確認されたこの取引 (ハッシュ: 0xa80805c97f5008637c4706b03316f61429ca3243f84b1124603ad2a9540915df) は、今年報告されたアドレスポイズニングによる最大の個人的損失の1つです。
現代の仮想通貨強盗の構造
アドレスポイズニングは、システムを侵害したり、認証情報を盗んだりする従来のハッキング手法とは異なり、人間の心理とユーザーインターフェースの制限を悪用します。この詐欺は、サイバーセキュリティの専門家がますます緊急性を増して警告している計画的な手法に従います。
「これらは無作為な日和見主義者ではありません」と、主要な取引所数社に助言しているデジタルフォレンジックの専門家は説明します。「アドレスポイズニングギャングは、自動化されたツールを使用して、価値の高いターゲットを特定し、欺瞞的なほど類似したアドレスを大規模に生成する洗練された組織です。」
攻撃は、スキャマーが価値の高い取引を行っているアクティブなウォレットを特定することから始まります。特殊なソフトウェアを使用して、正当な宛先を模倣するように設計された「バニティアドレス」を作成し、トランザクションを実行する際にほとんどのユーザーが視覚的に確認する先頭と末尾の文字を複製することに焦点を当てます。
仮想通貨バニティアドレスとは、名前や単語など、目的の文字シーケンスを含めるように特別に生成されたカスタムのパーソナライズされたウォレットアドレスです。このプロセスにより、アドレスは、標準のランダムに生成されたアドレスと比較して、所有者にとってより認識しやすく、または意味のあるものになります。
次に、攻撃者はごくわずかな量の仮想通貨をターゲットウォレットに送信し、不正なアドレスで被害者の取引履歴を効果的に「ポイズニング」します。その後、ユーザーが履歴を参照して以前に使用したアドレスをコピーするときに、誤ってポイズニングされたアドレスを選択してしまう可能性があります。
「この攻撃を特に陰湿なものにしているのは、その巧妙さです」と、ある仮想通貨取引所のセキュリティアドバイザーは述べています。「マルウェアも、フィッシングメールも、従来のセキュリティアラートをトリガーするものは何もありません。これは、人間が情報を処理する方法を悪用した純粋なソーシャルエンジニアリング攻撃です。」
強気市場における蔓延する伝染病
最近の70万ドルの盗難は、決して孤立した事件ではありません。業界の分析によると、アドレスポイズニング攻撃は2025年に劇的に増加し、2月には180万ドルの損失に続き、3月だけで120万ドル以上が盗まれました。
表: 主要なブロックチェーンにおけるアドレスポイズニング攻撃による最近の月ごとの損失
| 月/期間 | ブロックチェーン | 報告された損失 | ソース/注記 |
|---|---|---|---|
| 2025年3月 | Bitcoin | 120万ドル | Cyvers、業界レポート |
| 2025年2月 | Bitcoin | 180万ドル | Cyvers、業界レポート |
| 2024年12月 | Solana | 310万ドル | セキュリティ企業レポート |
| 2024年8月 (累積) | Ethereum/BSC | 8380万ドル | 調査研究 (集計) |
| 2023~2024年 (累積) | Ethereum | 最大1億4400万ドル | 複数のソース、集計 |
現在の強気市場は、問題を増幅させているようです。取引量が増加し、新しいユーザーが市場に参入するにつれて、悪用の機会が増えます。急いで取引したり、セキュリティのベストプラクティスに不慣れだったりすると、スキャマーにとって格好の標的環境が生まれます。
今週の事件よりもさらに壊滅的なケースもありました。昨年5月、被害者は誤って7100万ドル相当のWrapped Bitcoinをポイズニングされたアドレスに送金してしまいました。その特定のケースは、ブロックチェーンの調査員が盗難を追跡できた後、攻撃者が資金を返還するという珍しいハッピーエンドを迎えましたが、ほとんどの被害者は資産を取り戻すことはありません。
Wrapped Bitcoin (WBTC) は、Ethereumブロックチェーン上のERC-20トークンであり、Bitcoin (BTC) を1:1で表します。これにより、Bitcoin保有者はEthereumの分散型金融 (DeFi) エコシステム内でBTCを使用できるようになり、Bitcoinの流動性を他のチェーンに効果的に持ち込むことができます。
「現在見ている70万ドルの損失は、深刻度の点で中間点に位置します」と、ブロックチェーン分析の専門家は述べています。「数千ドルから数千万ドルに及ぶ個々の損失を記録してきました。」
包括的な調査では、Ethereumアドレスポイズニング攻撃だけで最大1億4400万ドルを失った約1,800件の被害者アドレスが特定され、9000万ドルの損失が確認されました。さらに驚くべきことに、研究者らは、これらの攻撃で使用されたフィッシングアドレスの98%をわずか4つのエンティティが管理していることを発見しました。これは、日和見主義的な個々のスキャマーではなく、組織的な犯罪組織を示唆しています。
完璧な嵐:低料金と不十分な保護
歴史的に低い取引手数料とウォレットインターフェースにおける不十分なセキュリティ対策という2つの要因が重なり、セキュリティ専門家がアドレスポイズニング攻撃にとって「完璧な嵐」と表現するものを生み出しました。
最近の安値を示すEthereumの過去の平均ガス料金
| 日付 | 平均ガス料金 (Gwei) | 平均取引手数料 (USD) | 注記 |
|---|---|---|---|
| 2025年4月24日 | 4.083 Gwei | 0.5382ドル | YChartsの1日の平均。 |
| 2025年4月17日 | 0.37 - 0.40 Gwei | - | Dencunアップグレードに起因する、2019年中頃以降の最低平均ガス価格。 |
| 2025年2月15日 | - | 0.77ドル (7日移動平均) | ドル建ての手数料は、この時期に4年ぶりの安値に達しました。 |
| 2025年2月7~8日 | 約1 Gwei (またはそれ以下) | 約0.06ドル | 手数料は1 Gweiを下回り、ネットワークアクティビティの低下と需要の低さを示しています。 |
| 2024年3月 | 90 Gwei超 | - | ETH価格が4,000ドルに急騰したことと相関があり、高いネットワークアクティビティを示しています。 |
| 2020年 | 約709.7 Gwei (ピーク) | 約196ドル (ピーク) | ネットワークアクティビティの増加、DeFi、およびNFTトレンドによって高い手数料が発生しました。 |
Ethereumなどのネットワークのガス料金が低下したため、攻撃者は現在、最小限の費用で数千もの「ダスティング」トランザクションを送信する余裕があります。Casaの最高セキュリティ責任者であるJameson Lopp氏は、これらの低料金環境が、大規模なポイズニングキャンペーンを経済的に実行可能にすることで、攻撃を直接的に奨励していると指摘しています。
ダスティング攻撃とは、ごくわずかな量の仮想通貨 (「ダスト」) を多くの異なるブロックチェーンウォレットに送信することです。主な目的は通常、これらのダストされた資金のその後のアクティビティを追跡することにより、ユーザーの匿名性を解除し、ウォレットアドレスを個人または組織にリンクさせることです。
「2022年には、単一のポイズニングトランザクションを送信するのに20~30ドルのガス料金がかかったかもしれません。現在、攻撃者は同じ金額で何百ものアドレスをポイズニングできます」と、ある仮想通貨セキュリティコンサルタントは述べています。「経済状況はスキャマーにとって劇的に変化しました。」
同時に、多くのウォレットインターフェースと仮想通貨プラットフォームは、この特定の脅威ベクトルに対する適切な保護手段を実装していません。業界の分析によると、影響を受けたユーザーの62%が、組み込みのセキュリティチェックがない自動化されたシステムに依存していたと、サイバーセキュリティ企業CyversのCEOであるDeddy Lavid氏は述べています。
多くのウォレットのインターフェース設計が問題を悪化させています。読みやすさを向上させるために、アドレスは通常、最初の数文字と最後の数文字のみを表示するように短縮されているため (例: 0x123...abc)、ポイズニングされたアドレスは、一見しただけでは正当なアドレスとほとんど区別できません。
「現時点では、これはセキュリティの問題であると同時に、ユーザーインターフェース設計の失敗でもあります」と、ある仮想通貨ウォレットの開発者は主張しました。「ユーザーが42文字の16進文字列を現実的に記憶または比較できないことがわかっている場合、そうすることに依存しない、より優れたシステムを構築する必要があります。」
個人的な損失を超えて:組織的な脆弱性
アドレスポイズニングは、個々の投資家に限定されません。2025年3月、攻撃者はArbitrumのエアドロップ直後、対象となる受信者のウォレットをポイズニングすることにより、930,000 ARBトークンを盗みました。この事件は、高度なプロジェクトでさえ、これらの比較的単純な攻撃の犠牲になる可能性があることについて疑問を投げかけました。
組織投資家にとってより懸念されたのは、2025年第1四半期のBybitハッキングでした。これは、排他的にアドレスポイズニング技術を使用したものではありませんでしたが、14億ドルの損失をもたらし、取引所のセキュリティ慣行について深刻な疑問を投げかけました。
「私たちが学んでいるのは、アドレス検証が業界全体で依然として重要な脆弱性であるということです」と、組織的な仮想通貨投資家と協力しているリスク管理コンサルタントは述べています。「個々のウォレットから主要な取引所まで、同様の悪用のパターンが見られます。」
反撃:テクノロジーと教育
アドレスポイズニング攻撃がより一般的になるにつれて、技術的および教育的な対策が浮上しています。セキュリティの専門家は、今週の70万ドルの損失を防ぐことができたであろう、いくつかのベストプラクティスを全員一致で推奨しています。
最も基本的な保護は、短縮されたアドレスの視覚的なパターンマッチングに依存するのではなく、ウォレット文字列全体を文字ごとにクロスチェックする手動のアドレス検証です。
「常に完全なアドレスを確認してください。最初の数文字と最後の数文字だけではありません」と、ある仮想通貨セキュリティ教育者は強調しました。「確かに、それは面倒ですが、お金を保持するか、すべて失うかの違いです。」
一部のプラットフォームでは、ユーザーが資金を送金できる事前承認されたアドレスのリストを作成できるホワイトリスト機能が実装されています。いったん確立されると、これらのリストは、ホワイトリストに登録されていないアドレスへの転送を防ぎ、ポイズニングの試みを効果的に無効にします。
より高度なソリューションも登場しています。いくつかのセキュリティ企業は、トランザクションをリアルタイムでスクリーニングし、以前に使用したアドレスに非常によく似た疑わしいアドレスにフラグを立てることができるAI駆動型ツールを開発しています。これらのシステムは、トランザクションパターンを分析し、資金が転送される前に潜在的なポイズニングの試みを識別できます。
人工知能、特に機械学習は、金融取引パターンを分析して異常を特定します。これは、従来の金融と、仮想通貨セキュリティなどの新たな分野の両方で、潜在的な不正行為の検出に役立ちます。
「機械学習アルゴリズムは、人間が見逃す可能性のある微妙なパターンを検出できます」と、アンチポイズニング技術に取り組んでいる開発者は説明しました。「アドレスが以前に使用したものに不審に似ているが、悪意のある意図を示唆する方法で異なる場合を認識するようにモデルをトレーニングしています。」
分岐点にある業界
仮想通貨業界は、アドレスセキュリティに関して重要な岐路に立っています。基盤となるブロックチェーン技術は安全ですが、ヒューマンインターフェースレイヤーがセキュリティチェーンの最も弱いリンクになっています。
「これはウォレット開発者にとって重要な瞬間です」と、いくつかの主要なプロジェクトに助言している仮想通貨セキュリティコンサルタントは述べています。「業界は、ユーザーが長い16進文字列を手動で検証することを期待するのが非現実的で危険であることを認識する必要があります。」
一部の専門家は、人間が判読できるアドレスを優先して16進アドレスを完全に放棄したり、高価値トランザクションの多要素認証を実装したりするなど、より根本的な解決策を提案しています。また、以前に使用したアドレスによく似ているが一致しないアドレスに資金を送金しようとしたときにユーザーに警告する標準化された警告システムを提唱する人もいます。
「インターフェースレベルでこの問題を解決しない限り、何百万もの損失が出続けるでしょう」と、ブロックチェーンセキュリティの研究者は警告しました。「これらの攻撃を防ぐためのテクノロジーは存在します。不足しているのは実装と標準化です。」
今週の70万ドルの盗難の調査が続く中、被害者は、仮想通貨で最も蔓延しているセキュリティ上の課題の1つになったものの犠牲者のリストに加わります。ブロックチェーン技術自体は直接攻撃に対して著しく耐性がありますが、アドレスポイズニングは、最も効果的な悪用はテクノロジーではなく、それを使用する人間を標的にすることを示しています。
「これは2025年の仮想通貨セキュリティのパラドックスです」と、あるデジタル資産セキュリティコンサルタントは述べています。「ほとんどハッキング不可能なシステムを構築しましたが、画面にアドレスを表示する方法のために何百万もの損失が発生しています。解決策は、より多くの暗号化ではなく、より優れた設計です。」