仮想通貨トレーダー、アドレス汚染攻撃で50億円損失の衝撃

仮想通貨トレーダーがアドレス汚染攻撃により50億円を失った事件が波紋を広げている。この攻撃は、取引履歴に偽のトークンを送りつけ、ユーザーを騙して資金を盗み出す巧妙な手口だ。

攻撃のメカニズム

アドレス汚染は、ウォレットの履歴に無価値なトークンを大量に送り込むことから始まる。トレーダーが取引を確認する際、この「汚染された」履歴の中から本物の送金先を見誤り、攻撃者のアドレスに資金を送ってしまう。過去の取引を信頼するという人間の心理を巧妙についた、社会工学攻撃の一種と言える。

業界への影響と教訓

この事件は、自己保管（セルフカストディ）の責任とリスクを改めて浮き彫りにした。取引所のハッキングとは異なり、アドレス汚染ではユーザー自身が誤った取引を承認してしまうため、資金の回収はほぼ不可能だ。仮想通貨の「非可逆性」が、ここでは残酷に作用する。

防御策はあるのか

専門家は、取引の都度、送金先アドレスを最初から最後まで一字一句確認することを強く推奨する。アドレスブックの使用や、QRコードの直接読み取りも有効だ。最も基本的な確認プロセスを怠った結果が、50億円という桁外れの損失につながった。

金融庁（FSA）の規制当局者たちは、こうした事件を眺めながら伝統金融の「顧客保護」フレームワークがいかに贅沢だったかをかみしめているかもしれない。仮想通貨の世界では、自分自身が最も頼りになる—そして時には最も信用ならない—セキュリティ担当者なのだ。

アドレス毒殺スキームの経緯

なお、こうした標準的な事前確認手法は、資金を正確なアドレスに送金できているか確認するためにトレーダーが用いることが多い。

しかし、その動作が攻撃者の自動スクリプトを呼び込んだ。スクリプトは即座に「偽造」ウォレットアドレスを生成した。

🚨💔 A victim lost ~$50M after copying the wrong address from contaminated transfer hiStory. https://t.co/ur4SJ0cvN0 pic.twitter.com/6K5ftJzC1G

偽アドレスは、本来の送金先と英数字列の先頭と末尾を一致させて作成される。差異は中央部分の文字のみであり、見分けるのが困難。

攻撃者は続いて、その偽アドレスから被害者のウォレットへごく少額の仮想通貨を送金した。

この取引で偽アドレスが被害者の直近取引履歴に表示される。多くのウォレットでは、アドレス詳細を一部しか表示しない。

被害者は、この視覚的な略式表示を参考に履歴からアドレスをコピーしたが、完全な文字列を確認しなかった。そのため、資金は安全な個人ウォレットではなく、攻撃者へUSDT4,999万9950枚が直接送金された。

資金を受け取った後、悪意ある攻撃者は、資産の差し押さえリスクを回避すべく迅速に行動した。オンチェーン記録によれば、攻撃者は発行元によって凍結可能なUSDTを即座にDAIステーブルコインへとMetaMask Swapで交換した。

攻撃者はその後、資金をおよそ1万6680ETHへ変換した。

履歴の隠蔽をさらに進めるため、攻撃者は得たETHをTornado Cashへ入金した。この分散型ミキシングサービスは、送金元と送金先の間のつながりを切断する機能を持つ。

被害者が100万ドルの懸賞金を提示

資産の取り戻しを図り、被害者はオンチェーン上で、盗まれた資金の98%返還と引き換えに100万ドルのホワイトハット報奨金を提示するメッセージを送信した。

「正式に刑事事件として届出を行った。法執行機関、サイバーセキュリティ機関、複数のブロックチェーンプロトコルと協力し、すでにあなたの活動に関する具体的かつ実効性の高い情報を入手済みだ」とそのメッセージは記している。

加えて、48時間以内に応じなければ「容赦なき」法的措置を追及すると警告した。

「協力しない場合は、法的ならびに国際的な司法当局を通じて事態を拡大させる。身元は特定され、関係機関へ提供する。全面的な正義の実現まで、刑事・民事両面から断固として追及する。これは要請ではない。取り返しのつかない事態を避ける最後の機会と考えるべきだ」と被害者は述べた。

この事件は、デジタルウォレットの取引情報表示仕様に根強い脆弱性があり、攻撃者がブロックチェーンコードの不備ではなく利用者の行動習慣を突いている実態を示している。

セキュリティアナリストは、利便性やデザインの理由でアドレスを省略表示する慣行が継続的なリスクをもたらしていると繰り返し警告してきた。

この問題が解決されなければ、攻撃者はアドレスの先頭と末尾だけを確認するという利用者の傾向を今後も悪用する可能性が高い。