ブロックチェーン技術の発展は、デジタル時代に大きな矛盾を生み出しました。絶対的な透明性には匿名性の幻想が伴います。多くのユーザーは依然として、複雑なハッシュの形式のウォレット アドレスがアイデンティティを保護する盾であると信じていますが、オンチェーンの現実はまったく異なる状況を示しています。 タンファットデジタルの専門家によると、仮想通貨ウォレットの追跡にはファンタジー映画のような超絶テクニックはもはや必要ありません。代わりに、アドレス クラスタリング アルゴリズム、リアルタイム監視、オフチェーン データ漏洩の悪用を使用した体系的なデータ分析プロセスです。個人の MEV 暴利者から Lazarus Group のような国家支援のサイバー犯罪グループに至るまで、脅威アクターがブロックチェーンを執拗な監視の場に変えています。このレポートでは、ハッカーが公開台帳の中核プロパティを悪用してターゲットの資産を特定、追跡し、最終的に収用するために使用する技術メカニズムを詳しく掘り下げます。
監視の技術基盤: アドレス クラスタリングとオンチェーン分析
ウォレット追跡の中核は、ヒューリスティック手法 (真偽テスト) を通じて、一見別々に見える複数のアドレスを 1 つのエンティティにリンクする機能から始まります。ブロックチェーン、特にビットコインやカルダノなどの UTXO (Unspent Transaction Output) モデルに基づくシステムは、ハッカーが匿名性を破るために悪用できる構造的な手がかりを提供します。
複数入力ヒューリスティック
これは、アドレス クラスタリングにおける最も重要な手法です。基本原則は、ブロックチェーン トランザクションの構造に基づいています。エンティティが 1 つのアドレスの残高を超える金額を送金したい場合、エンティティは、管理する異なるアドレスからの複数の UTXO を 1 つのトランザクションにプールする必要があります。これを行うには、送信者はこれらの入力アドレスすべてに有効な署名を提供する必要があります。これは、単一のエンティティがこれらすべてのアドレスの秘密鍵を保持していることを数学的に証明します。
ハッカーは、Union-Find などのアルゴリズムを使用して、これらのアドレスをクラスターにグループ化します。その結果、ハッカーはたった 1 つのトランザクションから、個人または組織のウォレットの「エコシステム」全体を特定することができます。研究によると、平均的なエンティティはカルダノ ネットワーク上で約 9.67 個のアドレスを制御しており、この数はビットコインでアクティブなエンティティではさらに高くなります。
アドレス変更ヒューリスティック
UTXO モデルでは、トランザクションが行われるたびに、入力 UTXO の残高全体を使用する必要があります。送金額が合計入力金額に満たない場合は、残りを「変更先住所」に送金させていただきます。最新のウォレット ソフトウェアは、プライバシーを保護するために返品トランザクションごとに新しいアドレスを自動的に生成することがよくありますが、ハッカーは特定の行動パターンを通じてそれらを識別できます。
アドレス ステータス: アドレスはこれまでブロックチェーン上に出現したことがないことが多く、ハッカーがこれを同じ所有者の新しいアドレスとして識別するのに役立ちます。
出力構造: 出力の中で新しいアドレスを識別するのは、出現したものだけです。実際の受信者のアドレス。
トランザクション値: 通常、送信される端数と比較して小数点以下の桁数が奇数であるため、ハッカーは被害者の残存キャッシュ フローを予測できます。
タイミング ルール: アドレスは元のトランザクションと同時に生成され、新しいアドレスをアドレス クラスターに永続的にリンクします。
返送先アドレスを決定すると、被害者が資産を新しいウォレットに分散させようとしても、ハッカーは継続的な監視を維持できます。これは体系的な識別プロセスであり、自動分析ツールに対して手動での匿名化の取り組みは役に立ちません。
詳細はこちら: Blockchain Explorer とは何ですか?
スイーパー ボット: 自動化Mempool の捕食者
ハッカーは被害者の秘密キーやシードフレーズを入手しても、現在の残高が少ない場合や資産が流動性のないトークンの場合には、すぐには行動を起こさないことがよくあります。代わりに、スイーパー ボット (コイン スキャン ロボット) を導入して、ウォレットを 24 時間年中無休で監視しています。
ガス料金競争とメカニズム
スイーパー ボットは、トランザクションがマイナーまたはバリデーターによる確認を待つキューである Mempool の監視に基づいて動作します。ユーザーが自分のウォレットが侵害されたことに気づき、他の貴重な資産を引き出すためのガス代として少額のお金 (ETH や BNB など) を入金しようとすると、ボットはこの入金トランザクションがネットワークに解放されるとすぐに検出します。
ボットはただちに、ウォレットに新たに入金されたお金または貴重なトークンを対象として、独自の出金トランザクションを作成します。要するに、ハッカーはマイナーがトランザクションを優先するように非常に高いガス料金 (Gas_{hacker} > Gas_{user}) を設定するということです。イーサリアムおよび同等の EVM ネットワークの構造では、ブロック内でトランザクションが実行される順序は、ユーザーが支払う意思のある手数料に大きく依存します。これにより、一般ユーザーにとって「フロントランニング」攻撃が避けられなくなります。
MEV と最大値の抽出
ウォレットの追跡は、キーが盗まれたウォレットに限定されません。プロのハッカーも「クジラ」のウォレットを監視して、MEV(最大抽出可能価値)戦略を実行します。 GPS (Generalized Profit-Seeker) ボットを通じて、ハッカーは保留中のトランザクションをスキャンし、その結果をシミュレートし、サンドイッチ攻撃を実行します。
サンドイッチ攻撃では、ハッカーは自分のトランザクションを被害者のトランザクションの両端に置きます。
フロントラン:価格を押し上げるために最初にトークンを購入します。
被害者のトランザクション被害者:つり上げられた価格で買い注文を実行し、価格圧力をさらに高めます。
バックラン:ハッカーは被害者が被った価格の下落から利益を得るために即座に売却します。
これらの作戦の規模は膨大で、単一のイーサリアム ネットワークで毎日抽出される利益は数百万ドルと推定されます。
情報を追跡する専門的なブロックチェーン分析ツールを通じて
ハッカーはますます洗練されており、コンプライアンスと研究目的で設計された同じツールを使用して、対象を絞った監視活動を実行しています。 Nansen、Chainalies、Arkham Intelligence、Etherscan などのプラットフォームは、ハッカーが自動アラート システムをセットアップできる強力な機能を提供します。
ウォッチリスト システムとリアルタイム アラート
最新の分析ツールを使用すると、ユーザーはウォレット アドレスにラベルを付け、「ウォッチリスト アラート」を設定できます。ターゲットのウォレットが入金/出金から、DEX でのトークンの交換、新しいスマート コントラクトの承認まで、あらゆるアクションを実行すると、ハッカーは Telegram、Discord、または電子メールを介して即座に通知を受け取ります。
オンチェーン データとエンティティ ラベルの組み合わせにより、ハッカーはターゲットを効果的に分類できます。
クジラ: 市場の変動や攻撃を監視するためサンドイッチ。
プロジェクト開発者のウォレット: 早期売却や新しく展開された契約の脆弱性を検出するため。
情報が盗まれた被害者のウォレット: ガス料金資産を補充する時期を待つため。
以下はハッカーやアナリストが使用する一般的なツールです。アプリケーション:
アーカム: ウォレット アドレスを実際の身元や特定の組織にリンクするためのビジュアライザーおよびエンティティ ラベリング機能を提供します。
ナンセン: 投資ファンドや大型魚ウォレットのキャッシュ フローを追跡するスマート マネー トラッキングに特化します。
バブルマップ: を提供します。ウォレット クラスターを検出するためのトークン分布マップが制御を一元化しています。
優しい: リアルタイム トレースをサポートし、スマート コントラクト内の詳細な関数呼び出しを監視します。
デューン アナリティクス: カスタム SQL クエリを実行して、金融行動パターンを大規模に深く分析できます。
詳細はこちら: ブロックチェーンは完全に匿名ですか?
匿名化解除: IP とオフチェーン データが有名になるとき
ブロックチェーンは匿名である可能性がありますが、これを操作すると、多くの場合、ハッカーがユーザーを特定するために使用できるデジタル痕跡が残ります。これは、生命のないハッシュを特定の人物に変える「匿名化解除」のプロセスです。
RPC サービスを介した IP アドレスの漏洩
ユーザーの大多数は現在、MetaMask などのブラウザー ウォレットを通じて対話しています。これらのウォレットは、Infura などの RPC サービス経由でリクエストを送信します。最新の調査によると、攻撃者は TCP パケットと台帳トランザクションの間の一時的な相関関係を悪用することで、最大 95% の成功率で匿名化解除を実行できることが示されています。
IP アドレスを保持することで、ハッカーは次のことが可能になります。
地理位置特定: ターゲットを特定して物理攻撃またはフィッシング攻撃を実行します。
DDoS攻撃: 重大な瞬間に被害者のネットワーク インタラクションを麻痺させます。
ISP データ マイニング: サードパーティからのデータ漏洩を通じて、実際のアイデンティティとのより深いつながり。
ソーシャル エンジニアリングとソーシャル アイデンティティ
ハッカーは、オープンソースの偵察技術 (OSINT) を使用して、X、Discord、および Telegram 上のターゲットを追跡します。ユーザーがエアドロップを受信するためにウォレットのアドレスを誤って公開し、ウォレットを .eth または .sol ドメインにリンクすると、アイデンティティ アンカーが作成されます。ハッカーがウォレット アドレスをソーシャル ネットワーク アカウントにリンクすると、そのユーザーのオンチェーン プライバシーはすべて終わります。
欺瞞の術: アドレス ポイズニング攻撃
アドレス ポイズニング攻撃は、ユーザーのコピー&ペーストの習慣と警戒心の欠如をターゲットにした、高度な追跡および詐欺手法です。
バニティ アドレス捏造のメカニズム
ハッカーはカスタム アドレス生成ソフトウェアを使用して、最初と最後の数文字が被害者が頻繁にやり取りするアドレスと同一のウォレット。ウォレットのインターフェースではアドレスの中間部分が短縮されることが多いため、この違いを一目で検出することはほとんど不可能です。
取引履歴ポイズニングプロセス
行動追跡: ハッカーはターゲットの取引履歴を監視するボットを使用して、頻繁に利用するパートナーを特定します。
デポジットダスト: ハッカーは非常に少量の資産を送信します。偽のアドレスから被害者のウォレットへ。
トラップを作成: 偽のトランザクションが最新のリストに表示されます。被害者が実際のお金を送金する必要がある場合、履歴から間違ったハッカーのアドレスを簡単にコピーします。
2024 年と 2025 年の数字は、この種の規模が非常に大きく、2 億 7,000 万件以上の攻撃試行が記録されていることが示されています。 2025 年 12 月の典型的な事件では、毒されたアドレスのコピー エラーにより、トレーダーが 5,000 万 USDT 近くを失いました。
承認権限の悪用: ERC-20、Permit、および Permit2
ウォレットの追跡は残高を超えて行われるだけでなく、ユーザーがスマート コントラクトに付与した承認権限 (承認) も対象となります。多くの場合、承認は永続的で数に制限がないため、大きなリスクが生じます。
無限および Permit2 の承認リスク
多くの DeFi プロトコルでは、ガスを節約するために最大限の承認が必要です。ハッカーは Etherscan 経由でこれらのコマンドを追跡します。彼らがウェブのフロントエンドを乗っ取ったり、承認された契約に脆弱性を発見した場合、追加の許可なしで資産を流出させることができます。
Permit や Permit2 などの標準を使用すると、オフチェーン署名を介して承認を行うことができます。ハッカーはこの機能を利用して、Inferno Drainer などのフィッシング ツールキットを開発しています。
追跡と誘惑: ハッカーは偽の広告を使用して被害者を詐欺的な Web サイトに誘導します。
通知の署名: Web サイトでは「ログイン」または「確認」通知に署名する必要があります。これは本質的に、トークンを引き出す許可を与える Permit2 署名です。
遅延: ハッカーはすぐにはお金を引き出しません。彼らは何日間もウォレットを監視し、チェーン上で最も高い残高が出金されるのを待ちます。
臨床事例: 15 億ドルの Bybit 攻撃
2025 年 2 月、Bybit のコールド ウォレットから 15 億ドルが盗まれた事件は、サプライ チェーン追跡とオンチェーン監視の究極の組み合わせでした。 Lazarus グループは、開発者ワークステーションを介して Safe{Wallet} システムに侵入しました。
2025 年 2 月 19 日、ハッカーは S3 サーバー上の JavaScript ファイルを編集しました。このマルウェアは、送信元ウォレットのアドレスが Bybit のコールド ウォレットとして識別された場合にのみアクティブになります。
Trigger = (Address_{source} == Address_{Bybit_Cold})
Bybit 管理者が送金注文を実行すると、マルウェアは取引内容を暗黙のうちに delegatecall コマンドに変更してハッカーの契約に導き、追加の署名を必要とせずに出金機能を追加して資産を吸い上げることができるようにします。その他。
ウォレットが追跡されている兆候を認識する
ガス料金の即時損失: スイーパー ボットの明らかな兆候です。ガス料金を入金して数秒以内に消えた場合、ウォレットは秘密鍵を管理していることになります。
頻繁な「ダスト」トランザクション: ハッカーはアドレスをクラスター化するか、アドレスポイズニング攻撃に備えようとしています。
異常なメッセージ署名リクエスト: Permit2 を使用している場合、特に複雑な JSON 形式が使用されます。 DApp。
Tan Phat Digital の観点から見た防止策
オンチェーン追跡は大きな課題ですが、ユーザーは次の戦略を適用して資産を保護できます。
アカウントの抽象化 (ERC-4337)
スマート ウォレット (スマート アカウント) の導入により、セキュリティが大幅に強化されます。以下が含まれます:
ホワイトリスト: 事前に承認されたアドレスへの資金の転送のみを許可し、アドレスポイズニングトラップを完全に無効にします。
トランザクション制限: 1 日あたりの出金制限を設定し、スイーパーボットがすぐに資産を流出させないようにします。
ペイマスター: ガスを許可します。料金は他のトークンまたは料金スポンサーで支払われるため、ネイティブ ガス料金のキャッシュ フローの露出を回避できます。
ソーシャル リカバリ: シード フレーズによるリスクを完全に排除し、友人や他のデバイスを介したウォレット アクセスの復元に役立ちます。
プライバシーの管理と承認
Wasabi Wallet (CoinJoin プロトコル) などのソリューションを使用すると、トランザクションを混合し、クラスタリング アルゴリズムを混乱させるのに役立ちます。さらに、プライベート RPC ノードまたは VPN を使用すると、IP 漏洩の防止に役立ちます。ユーザーは定期的に Revoke.cash を使用して、不要になった承認を取り消す必要があります。
よくある質問 (FAQ)
ダスティング攻撃とは何ですか? ハッカーは、数百万のアドレスに少量の暗号通貨を送信して「タグ付け」し、これらの資金の管理またはプール方法を追跡して、所有者を特定します。
アドレス クラスタリングはどのように機能しますか? これは、トランザクション構造と支出行動に関するルールに基づいて、同じエンティティに属する可能性がある多くの異なるウォレット アドレスをグループ化する手法です。
複数入力ヒューリスティックとは何ですか? 複数のウォレット アドレスが 1 つのトランザクションに資金を提供する場合、署名にはすべての秘密キーが必要であるため、それらは同じ人物の管理下にあると想定するルールです。
暗号ウォレットを通じて IP アドレスが漏洩する可能性はありますか? はい、ライト ウォレットやブラウザ プラグインを使用すると、RPC リクエストを通じて IP アドレスが漏洩する可能性があり、ハッカーがあなたの本当の身元をウォレット アドレスに関連付けることに役立ちます。
スイーパー ボットは、ウォレットがハッキングされたときに何をしますか? スイーパー ボットはトランザクション キュー (mempool) を監視し、すぐに非常に高額なガス料金を出金して、ガス料金のデポジットを横取りします。
サンドイッチ攻撃とは何ですか? ハッカーは、被害者によって引き起こされた価格スリッページから利益を得るために、被害者の取引の前に買い注文を出し、被害者の取引の直後に売り注文を出します。
無制限の承認はどのくらい危険ですか? これにより、スマート コントラクトにより、再度署名することなく、いつでもそのトークンをウォレットから空にすることができます。
通常の Permit と比較して、Permit2 にはどのようなリスクがありますか? Permit2 は非常に柔軟性があり、複数のトークンを同時に承認できるため、ハッカーはユーザーを騙して、資金を引き出すためによく理解していない複雑な通知に署名させることができます。
アドレスポイズニングはダスティング攻撃とどう違うのですか? ダスティングは追跡に使用されますが、アドレスポイズニングは通常使用しているアドレスに似たアドレスを作成し、送金時に間違ったアドレスをコピーアンドペーストするように仕向けます。
15 億ドルの Bybit ハッキングはどのように実行されましたか? Lazarus グループのハッカーは、Safe{Wallet} のクラウド インフラストラクチャに悪意のあるコードを挿入し、ユーザーがコールド ウォレットの制御を移管するコマンドに署名できるようにインターフェースを変更しました。
アカウント抽象化 (AA) とは何ですか? ウォレットを、単なる秘密鍵のペアではなく、独自のセキュリティ ロジックをプログラムできるスマート コントラクトに変えるテクノロジーです。
ERC-4337 はスイーパー ボットの防止にどのように役立ちますか? AA では、引き出し制限の設定と受信アドレスのホワイトリスト登録が可能で、ボットが見慣れないアドレスにすべての資金をすぐに引き出すことができなくなります。
ERC-4337 を使用するデメリットは何ですか? トランザクションが複雑になり、ガス料金が高くなり、複雑な認証ロジックによりサービス拒否 (DoS) 攻撃のリスクが高まる可能性があります。
現在クジラの動きを追跡するのに最適なツールは何ですか? Nansen、Arkham Intelligence、Bubblemaps は、専門的な名目データとキャッシュ フローの視覚化を提供する主要なツールです。
ウォレットを追跡から完全に保護するにはどうすればよいですか? CoinJoin (Wasabi など) をサポートするウォレットを使用し、Tor/VPN 経由で接続し、承認を定期的に取り消し、トランザクション履歴からアドレスをコピーしないでください。
Tan Phat Digital は、将来的には、オンチェーンのプライバシーは単なる数字の隠蔽ではなく、データを制御する能力になると強調しました。 Zero-Knowledge Proofs のようなセキュリティ テクノロジーが普及するまでは、すべての投資家にとって警戒と理解が保護の最も重要な層となります。
シェア
