最近、オンチェーン詐欺による最大級の損失の一つが発生しました。アドレスポイズニング攻撃という、アカウントベースのブロックチェーンが取引履歴やアドレスの再利用をどのように管理しているかを悪用する詐欺により、1人のユーザーがほぼ5,000万ドルのUSDTを失いました。
Charles Hoskinsonのコメント
Charles Hoskinsonによると、このような損失は本質的にこの種のエラーに対してより耐性のある一部のアーキテクチャでは発生しなかっただろうと述べています。これがその経緯です。
Binanceから資金が引き出された直後、約2年間アクティブで主にUSDTの送金に使われていた被害者のウォレットに、ほぼ5,000万ドルが送金されました。ユーザーは受取人に対してテスト送金を行い、多くの人が安全と考える行動を取りました。その数分後に全額が送金されましたが、その2回目の送金で誤ったアドレスが使用されていました。
以前、詐欺師は被害者が以前使用した本物のアドレスに似せたウォレットから少額のUSDTを送ることでアドレスポイズニング攻撃を実行していました。被害者は取引履歴からアドレスをコピーする際に、正しいアドレスではなく偽装されたアドレスを誤って選択してしまいました。その結果、ワンクリックで5,000万ドルが失われました。
なぜUTXOがこのようなケースで優れているのか
盗まれたUSDTはおそらく今後移動または交換される可能性がありますが、現時点ではまだ送金先アドレスに残っています。
「これがutxoが素晴らしいもう一つの理由です」とHoskinsonはこの事件に対してコメントしました。彼の指摘は正しいと言えます。Ethereumや他の多くのEVMチェーンが採用しているアカウントベースモデルは、この種の詐欺を直接的に引き起こします。取引履歴ではアドレスが自由形式の文字列として表示され、ウォレットは過去の取引からアドレスをコピーすることを推奨します。これこそがハッカーが悪用するポイントです。
BitcoinやCardanoのようなUTXOモデルを採用するチェーンは異なる仕組みで動作します。すべての取引は既存のUTXOを消費しつつ新たなアウトプットを生成します。ウォレットは通常、再利用されたアカウントエンドポイントではなく、明示的なUTXO選択から取引を作成し、ユーザーはアカウント履歴から宛先アドレスをコピーするような使い方をしません。視覚的にポイズニングできる永続的なアカウント状態が存在しないのです。
これはプロトコルの欠陥やスマートコントラクトの脆弱性ではありませんでした。人間の行動と設計の欠陥が組み合わさったものであり、1時間も経たないうちに5,000万ドルの損失を生みました。
