暗号資産におけるアドレス・ポイズニング攻撃は、攻撃者が正当なアドレスと酷似した偽のアドレスにユーザーが資金を送金するよう騙す詐欺手法である。
2025年5月、暗号資産トレーダーがゼロ値転送技術を使用した連続攻撃で260万ドルのUSDTを失った。
2025年3月、EOSブロックチェーンがVaultaへのリブランディング後にアドレス・ポイズニング攻撃を受け、攻撃者がBinanceやOKXを模倣したアドレスから少量のEOSを送信した。
2024年5月、正体不明のトレーダーが単一攻撃で1,155WBTC(6,800万ドル相当)を失い、Cyversが事件を発見した。カーネギーメロン大学の研究によると、2022年7月1日から2024年6月30日の間にEthereumとBSC(Binance Smart Chain)で2億7,000万回の攻撃が発生し、6,633件が成功して8,380万ドルの損失が確認された。
Chainalysisは単一キャンペーンで82,031個の偽装アドレスを発見し、成功率は0.03%だが高額被害を実現している。
From: 
What are address poisoning attacks in crypto and how to avoid them?
【編集部解説】
アドレス・ポイズニング攻撃は、暗号資産業界における最も巧妙で深刻なセキュリティ脅威の一つです。この攻撃手法の本質を理解するためには、まず暗号資産のアドレス構造について説明する必要があります。
暗号資産のウォレットアドレスは、通常40文字の英数字で構成される長い文字列です。ユーザーは日常的にこれらのアドレスをコピー&ペーストで使用しており、多くの場合、最初と最後の数文字のみを確認して正しいアドレスかどうかを判断しています。攻撃者はこの人間の行動パターンを悪用し、正当なアドレスと酷似した偽のアドレスを生成します。
カーネギーメロン大学の最新研究が明らかにした攻撃規模は驚異的です。2022年7月から2024年6月までの2年間で、EthereumとBSCだけで2億7,000万回の攻撃が確認されており、これは従来の報告を大幅に上回る数字です。この規模は、アドレス・ポイズニング攻撃が組織化された大規模な犯罪産業となっていることを物語っています。
技術的な観点から見ると、「ゼロ値転送」という新しい手法が特に危険です。この手法では、実際の資金移動を伴わずに取引履歴に偽のアドレスを表示させることができ、秘密鍵の署名も不要なため、より検出が困難になっています。従来のフィッシング攻撃とは異なり、ユーザーのウォレット内の履歴そのものが汚染されるため、信頼できるはずの情報源が攻撃の媒体となってしまいます。
Chainalysisが分析した6,800万ドル事件では、攻撃者が被害者に対して脅迫的なメッセージを送信し、最終的に資金を返還させるという異例の展開を見せました。しかし、攻撃者は300万ドル相当の利益を確保しており、この手法の収益性の高さを示しています。
攻撃の成功率は極めて低く、Chainalysisの調査では82,031個の偽装アドレスのうち、100ドル以上を獲得したのはわずか22個でした。しかし、少数の高額被害が全体の利益を押し上げており、2024年の一般的な詐欺の中央値400ドルに対して、このキャンペーンは3,727倍の収益を上げています。
EOSからVaultaへのリブランディング後に発生した攻撃は、タイミングの重要性を示しています。攻撃者は市場の注目が集まる瞬間を狙い、ユーザーの警戒心が薄れるタイミングを計算して攻撃を仕掛けました。これは単なる技術的攻撃ではなく、心理的・社会的要因を巧みに利用した高度な戦略です。
一方で、防御技術の進歩も注目に値します。TrugardとWebacyが開発したAI検出ツールは97%の精度を達成しており、機械学習を活用した防御システムの有効性を実証しています。この技術は教師あり学習モデルを使用し、実際の取引データと合成データの両方で訓練されているため、未知の攻撃パターンにも対応可能です。
規制面への影響も深刻です。アドレス・ポイズニング攻撃は従来のマネーロンダリング対策やKYC(顧客確認)規制の盲点を突いており、規制当局は新たな対応策を検討せざるを得ません。特に、攻撃がクロスチェーンで実行される場合、複数の管轄区域にまたがる複雑な法的問題が生じます。
長期的な視点では、この攻撃手法はブロックチェーン技術の根本的な設計思想に疑問を投げかけています。分散化と透明性を重視するブロックチェーンにおいて、その透明性自体が攻撃の材料となってしまう皮肉な状況が生まれています。将来的には、プライバシー保護機能を強化したブロックチェーンや、ユーザビリティを向上させた新しいアドレス体系の開発が必要になるでしょう。
この問題は技術的解決策だけでは不十分であり、ユーザー教育、業界標準の策定、規制フレームワークの整備を含む包括的なアプローチが求められています。暗号資産業界の成熟とともに、セキュリティ対策もより洗練されたものへと進化していく必要があります。
【用語解説】
アドレス・ポイズニング
攻撃暗号資産において、攻撃者が正当なウォレットアドレスと酷似した偽のアドレスを作成し、ユーザーを騙して誤送金させる詐欺手法である。アドレスの前後数文字のみを確認する人間の行動パターンを悪用している。
ゼロ値転送
実際の資金移動を伴わずに取引履歴に偽のアドレスを表示させる高度なフィッシング手法である。秘密鍵の署名が不要なため、より検出が困難とされる。
ダスティング攻撃
複数のウォレットに少額の暗号資産(UTXO)を送信することで、アドレス履歴を汚染し、ユーザーを騙そうとする攻撃手法である。
バニティアドレス
意図した文字列を含むように生成したウォレットアドレスのことである。攻撃者はこの技術を悪用して、正当なアドレスと類似したアドレスを作成する。
階層決定論的(HD)ウォレット
毎回新しいアドレスを自動的に生成するウォレット技術である。アドレス・ポイズニング攻撃の防止に有効とされる。
マルチシグネチャ(マルチシグ)ウォレット
取引を承認するために複数の秘密鍵を必要とするウォレットシステムである。追加の保護レベルを提供する。
BSC(Binance Smart Chain)
Binanceが開発したブロックチェーンプラットフォームで、低手数料での取引が可能である。現在はBNB Chainと呼ばれている。
WBTC(Wrapped Bitcoin)
Ethereumブロックチェーン上で使用できるようにラップされたビットコインのトークン版である。
【参考リンク】
Chainalysis(外部)
ブロックチェーン分析を専門とする企業で、暗号資産事業者や金融機関にリスク検知・追跡ソリューションを提供
Webacy(外部)
Web3製品のユーザーエクスペリエンスを保護するプラットフォーム、デジタル資産のセキュリティ特化
Cyvers(外部)
Web3セキュリティ専門企業で、リアルタイムでの暗号資産攻撃検出・防止サービスを提供
Binance(外部)
世界最大規模の暗号資産取引所で、180か国以上で2億5000万人超のユーザーにサービス提供
OKX(外部)
取引量世界第2位の暗号資産取引所で、5,000万人以上のグローバルユーザーを抱える
Carnegie Mellon University(外部)
米国ペンシルベニア州の私立研究大学で、コンピューターサイエンス分野で世界最高水準の研究を実施
【参考記事】
Anatomy of an Address Poisoning Scam – Chainalysis(外部)
Chainalysisが発表した6,800万ドル攻撃の詳細分析、82,031個の偽装アドレスキャンペーンを解説
Blockchain Address Poisoning – arXiv(外部)
カーネギーメロン大学の学術論文、2億7,000万回の攻撃と8,380万ドルの被害を詳細分析
【編集部後記】
暗号資産を使われている皆さんは、普段どのようにアドレスを確認していますか?正直なところ、私たちも最初と最後の数文字だけを見て「これで大丈夫」と思ってしまうことがあります。今回の記事を読んで、改めて自分のセキュリティ習慣を見直すきっかけになりました。
皆さんの中で、実際にアドレス・ポイズニング攻撃に遭遇された方はいらっしゃるでしょうか?また、どのような対策を取られているか、ぜひお聞かせください。HDウォレットやマルチシグの導入を検討されている方も多いのではないでしょうか。
Web3の世界は日々進化していますが、同時に新しいリスクも生まれています。私たち一人ひとりがどう向き合っていくか、一緒に考えていけたらと思います。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
ブロックチェーンニュースをinnovaTopiaでもっと読む
