暗号資産エコシステムは、近年最大級のオンチェーン詐欺の一つによって最近揺れ動きました。ユーザーが所有する約5,000万ドル相当のUSDTが、「アドレスポイズニング」と呼ばれる攻撃手法によって数秒のうちに誤ったウォレットへ送金されました。この事件は個人のミスを浮き彫りにしただけでなく、ブロックチェーンのアーキテクチャとユーザー行動がどのように危険な形で交差しうるかを明らかにしました。
window.lazyLoadOptions=Object.assign({},{threshold:300},window.lazyLoadOptions||{});!function(t,e){"object"==typeof exports&&"undefined"!=typeof module?module.exports=e():"function"==typeof define&&define.amd?define(e):(t="undefined"!=typeof globalThis?globalThis:t||self).LazyLoad=e()}(this,function(){"use strict";function e(){return(e=Object.assign||function(t){for(var e=1;e
window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});
アドレスポイズニング攻撃の発生経緯
この事件の中心には、約2年間アクティブで主にUSDTの送金に使用されていたウォレットがあります。Binanceから資金を引き出した後、ユーザーは約5,000万ドル相当のUSDTを受け取りました。安全な方法だと信じて、ユーザーはまず少額のテスト送金を行いました。数分後、本送金を実施しましたが、知らず知らずのうちに誤ったアドレスを利用してしまいました。
この段階に至る前に、詐欺師はすでに「アドレスポイズニング」攻撃を仕掛けていました。被害者が頻繁に使用していたアドレスに酷似したウォレットを作成し、そこにごく少額のUSDTを送金して取引履歴に追加しました。ウォレットインターフェース上のアドレスは長く複雑な文字列として表示されるため、ユーザーは資金を送金しようとした際、誤って取引履歴からこの偽アドレスをコピーしてしまい、ワンクリックで約5,000万ドルが攻撃者のウォレットに移動する結果となりました。
UTXOモデル論争とCharles Hoskinsonの見解
Cardanoの創設者であるCharles Hoskinsonはこの事件について見解を述べ、こうした損失は特定のブロックチェーンアーキテクチャでははるかに発生しにくいと主張しました。彼は、EthereumやEVM系ネットワークで採用されているアカウントベースモデルが、構造的にアドレスポイズニングのような詐欺を可能にしていると指摘しています。このモデルでは、アドレスが恒久的なアカウントとして保持され、ウォレットはしばしば過去の取引からアドレスをコピーするようユーザーに促しますが、これが詐欺師の標的となります。
Hoskinsonによれば、BitcoinやCardanoのようなUTXOモデルを採用するネットワークは、この点でより耐性があります。UTXOモデルでは、各取引が新しいアウトプットを生成し、古いものを消費するため、恒久的な「アカウント残高」という概念がありません。その結果、視覚的にポイズニングされるような持続的なアドレス履歴が存在しません。彼は、この事件はプロトコルの欠陥やスマートコントラクトのエラーではなく、設計と人間の行動が危険に交差した結果であると強調しています。
同様のリスクは、最近他のレポートでも指摘されています。ここ数週間で、主要なウォレットプロバイダーがユーザーにアドレスコピーの習慣に警告するセキュリティアップデートをリリースし、アドレス確認画面を刷新しました。これらの動きは、個人の注意とともにウォレット設計の重要性を浮き彫りにしています。
