Cryptoトレーダーがアドレスポイズニング詐欺で$50MのUSDTを失う

アドレス・ポイズニングの仕組み

仮想通貨トレーダーが12月20日、洗練された「アドレス・ポイズニング」攻撃の犠牲になり、1回の取引で約5,000万ドルを失いました。この事件では49,999,950USDTが詐欺師のウォレットに直接送金され、高度な技術を持った盗賊が基本的な人間の習慣とユーザーインターフェースの制限を利用するセキュリティ危機が浮き彫りになっています。

オンチェーン調査員Specterによると、被害者は取引所から個人ウォレットに資金を移動しようとし、初めに自身の正規アドレスへの50USDTのテスト取引を行いました。攻撃者はこれを感知し、被害者の正規ウォレットの最初と最後の4文字に一致する「偽装」バニティアドレスを即座に生成しました。

続きを読む: 2025年の暗号詐欺: 見分け方と自分を守る方法

攻撃者はこの偽のアドレスから被害者に微量の仮想通貨を送信し、ユーザーの取引履歴を実質的に「汚染」しました。この後、X上での議論でSpecterは、「このような巨大な損失の原因になる可能性が最も低いケースの1つ」で資金を失ったトレーダーを嘆きました。同調査員ZachXBTが被害者への悲しみを表明すると、Specterはこう語りました:

「まさにこの理由で私は言葉を失いました。ちょっとしたミスでこれほどの大金を失うなんて。正しいソースからアドレスをコピーして貼り付けるのに数秒間だけ余裕があれば、すべてを防げたでしょう。クリスマスが台無しになりました。」

UIの欠陥: エリプシスとヒューマンエラー

ほとんどの現代の仮想通貨ウォレットやブロックエクスプローラーは長い英数字の文字列を省略表示しており、中央に省略符号（例：0xBAF4…F8B5）を表示しています。このため、偽装アドレスが一見して被害者のものと同一に見えました。そのため、被害者が残りの49,999,950USDTを送金しようとした際、一般的な方法を取りました: 最近の取引履歴から受取アドレスをコピーするという方法です。

汚染攻撃から30分以内に、約5,000万ドルに相当するUSDTは、ステーブルコインDAIにスワップされ、約16,690ETHに変換されてTornado Cashを通じて送られました。何が起きたのか気付いた被害者は、攻撃者に対し、資金の98％の返済のために100万ドルのホワイトハット報奨を申し入れるオンチェーンメッセージを送りました。12月21日時点で資産は未回収のままです。

セキュリティ専門家は、暗号資産の価格が新高値に達するにつれ、これらの低技術・高報酬の「ポイズニング」詐欺がより一般的になっていると警告しています。同様の運命を避けるため、ホルダーは常にウォレットの「受取」タブから直接受取アドレスを取得することが推奨されています。

ユーザーはウォレット内で信頼できるアドレスをホワイトリストに登録し、手動入力エラーを防ぐべきです。また、フルの宛先アドレスの物理的確認を要求するデバイスを使用し、重要な第二の監視レイヤーを提供することも検討すべきです。

FAQ 💡

• 12月20日の攻撃では何が起こったのですか？ トレーダーがアドレス・ポイズニング詐欺により約5,000万ドルのUSDTを失いました。
• 詐欺はどのようにして行われたのですか？ 攻撃者が切り取られた形で同一に見えるウォレットアドレスを偽造しました。
• 盗まれた暗号資産はどこに移動しましたか？ 資金はDAIにより洗浄され、ETHに変換され、Tornado Cash経由で移動されました。
• トレーダーは自分自身をどう保護するべきですか？ 常にウォレットの「受取」タブからアドレスをコピーし、信頼できるアカウントをホワイトリストに登録してください。