暗号資産のセキュリティ監視を行うWeb3 AntivirusとSlowMist、Lookonchainが2025年12月19日から20日にかけて、驚くべき事実を報告した。ある暗号資産ユーザーが取引履歴から誤ったアドレスをコピーしたことで、49,999,950 USDT(約5000万ドル)を失ったというのだ。この「アドレスポイズニング攻撃」は、技術的な欠陥ではなく人間の視覚的判断の限界を悪用する、極めて巧妙な詐欺手法である。
Web3 Antivirusによると、被害者は取引履歴から悪意あるウォレットアドレスをコピーしたことが原因であり、アドレスポイズニングは小額送金で取引履歴に類似アドレスを紛れ込ませ、被害者がコピー&ペースト時に誤って選択する仕組みである。
オンチェーンデータでは、被害者はまず正しいアドレスへ少額のテスト送金を行い、その数分後に約5000万ドル全額を汚染アドレスに送金している。セキュリティ研究者Cos(SlowMist創業者)は、正規アドレスと詐欺アドレスの先頭3文字と末尾4文字が同じで、熟練ユーザーでも識別が難しいと指摘している。攻撃者は盗んだUSDtをEther(ETH)に交換し、複数ウォレットに分散させ、さらに一部をTornado Cashへ送金している。
From: 
How a single copy-paste mistake cost a user $50M in USDt
【編集部解説】
今回の事例は、暗号資産セキュリティにおける最も残酷な真実を突きつけています。システムの脆弱性を突くのではなく、人間の認知的な習慣を悪用する攻撃だからです。
アドレスポイズニング攻撃の仕組みは極めてシンプルかつ巧妙です。攻撃者はまずブロックチェーン上で活発に取引している標的を監視し、その取引パターンを分析します。次に自動化ツールを使って、標的が頻繁に使用するアドレスに酷似した偽アドレスを生成します。そして、ごく少額の暗号資産を偽アドレスから標的のウォレットへ送信し、取引履歴に「毒を盛る」のです。
この攻撃の恐ろしさは、先頭3文字と末尾4文字が一致するだけで、人間の視覚的認識を欺くのに十分だという点にあります。ブロックチェーンアドレスは通常42文字(Ethereumの場合)の長い英数字列であり、多くのユーザーは先頭と末尾だけを確認する習慣があります。この「確認の省略」こそが、攻撃者が狙う心理的な隙なのです。
被害者が最初に少額のテスト送金を正しいアドレスへ行った事実も重要です。これは被害者がセキュリティ意識を持っていたことを示していますが、本番の送金時に取引履歴から誤ったアドレスをコピーしてしまいました。約5000万ドルという巨額資金が、わずか数分の間の判断ミスで失われたのです。
攻撃者の資金洗浄プロセスも洗練されています。盗んだUSDTを即座にEtherに交換し、複数のウォレットに分散させ、さらにTornado Cashのようなミキシングサービスへ送金することで、資金の追跡を極めて困難にしています。
2025年の暗号資産セキュリティ状況は深刻です。年間の総損失額は34億ドルに達し、2022年以来最悪の水準となっています。しかし注目すべきは、この損失の69%がBybitの14億ドルハッキングを含むわずか3件の大規模インシデントによるものだという点です。攻撃者は「ビッグゲームハンティング」戦略へシフトしており、大手取引所や大口保有者(クジラ)を標的とする傾向が強まっています。
この事例が示唆する長期的な影響は多岐にわたります。まず、ウォレットUIの改善が急務です。アドレス全体を視覚的に確認しやすくする表示方法や、送金前の警告システムの強化が求められます。また、ハードウェアウォレットやアドレスブック機能の活用も重要な対策となります。
規制面では、取引所に対するセキュリティ基準のさらなる厳格化が予想されます。特に大口送金に対する多段階認証や時間遅延機能の実装が、業界標準として定着する可能性があります。
最も重要なのは、暗号資産ユーザー全体のセキュリティリテラシー向上です。技術的な保護機能だけでなく、人間の行動様式そのものを見直す必要があります。「コピー&ペーストの習慣」という日常的な作業が、数千万ドルの損失につながる可能性がある世界では、慎重すぎるほどの確認プロセスが求められるのです。
【用語解説】
アドレスポイズニング(Address Poisoning)
暗号資産ユーザーの取引履歴に、正規のウォレットアドレスと酷似した偽のアドレスを意図的に紛れ込ませる詐欺手法。攻撃者は少額の暗号資産を送付することで被害者の取引履歴に偽アドレスを表示させ、被害者がコピー&ペーストで誤って偽アドレスを選択することを狙う。先頭と末尾の数文字を一致させることで、視覚的な確認を回避する。
USDt(USDT / Tether)
米ドルに価値が連動するステーブルコインの一種。1 USDT = 1米ドルの価値を維持するよう設計されており、暗号資産市場における主要な取引媒体として広く利用されている。発行元はTether Limited社。
Tornado Cash
Ethereumブロックチェーン上で動作する分散型ミキシングサービス。複数のユーザーの暗号資産を混合することで送金元と送金先の関連性を曖昧にし、取引の匿名性を高める。資金洗浄に悪用されるケースもあり、規制当局の監視対象となっている。
オンチェーン
ブロックチェーン上で記録・実行される取引やデータを指す用語。オンチェーン分析とは、ブロックチェーンに記録された公開データを追跡・解析することで、取引の流れや資金の動きを明らかにする手法。
マルチシグ(マルチシグネチャ)
複数の秘密鍵による承認を必要とするウォレットの仕組み。例えば「3人中2人の承認」といった条件を設定でき、単一の秘密鍵漏洩によるリスクを軽減できる。大口資金の管理やDAO(分散自律組織)の運営で広く採用されている。
【参考リンク】
Binance(バイナンス)(外部)
世界最大級の暗号資産取引所。取引高、ユーザー数ともに業界トップクラスを誇る。
Bybit(バイビット)(外部)
シンガポールを拠点とする大手暗号資産取引所。2025年2月に14億ドルのハッキング被害を受けた。
SlowMist(スローミスト)(外部)
暗号資産セキュリティに特化した中国系研究機関。ブロックチェーンセキュリティ監査を手がける。
Cointelegraph(コインテレグラフ)(外部)
暗号資産・ブロックチェーン分野に特化した国際的なニュースメディア。2013年設立。
Ledger Academy(レジャーアカデミー)(外部)
ハードウェアウォレット大手Ledger社が運営する教育プラットフォーム。初心者から上級者まで対応。
Chainalysis(チェイナリシス)(外部)
ブロックチェーン分析ツールを提供する米国企業。法執行機関や金融機関向けにサービス展開。
【参考記事】
How a single copy-paste mistake cost a user $50M in USDt – Coinglass(外部)
アドレスポイズニング攻撃により49,999,950 USDTが失われた事例を詳細に報告。
Crypto losses hit $2.5B in first half of 2025, but hacks fall in Q2 – Cointelegraph(外部)
2025年上半期の暗号資産損失が25億ドルに達したと報告。大規模攻撃への集中傾向。
Crypto Losses Soar To $3.4 Billion In 2025 As Hackers Target Big Players – TronWeekly(外部)
2025年の暗号資産ハッキング被害総額が34億ドル。総損失の69%を3件が占める。
How Do Crypto Address Poisoning Attacks Work? – Binance Academy(外部)
アドレスポイズニング攻撃の仕組みを詳細に解説。自動化ツールで類似アドレスを生成。
Address Poisoning In The Wild – Blockaid(外部)
実際のアドレスポイズニング攻撃事例を技術的に分析。認知バイアスを悪用する手法。
North Korea Responsible for $1.5 Billion Bybit Hack – FBI IC3(外部)
FBIが2025年2月のBybitハッキング事件に北朝鮮の関与を公式に認定。
Crypto User Loses $50 Million in ‘Address Poisoning’ Scam – Yahoo Finance(外部)
被害者のウォレットが約2年間アクティブで、Binanceから引き出された直後の被害。
【編集部後記】
暗号資産を扱う際、あなたはウォレットアドレスをどこまで確認していますか?
今回の事例で最も恐ろしいのは、被害者がセキュリティ意識を持ち、テスト送金まで行っていた点です。それでも「取引履歴からコピー」という日常的な操作が、約5000万ドルの損失につながりました。
私たち自身も、URLやメールアドレスをコピーする際、全体をしっかり確認しているでしょうか。この事件は暗号資産の世界だけの話ではなく、デジタル時代を生きる私たち全員に「確認の習慣」を問い直すきっかけを与えてくれています。みなさんは、どのような対策を取られていますか?
