ブロックチェーン技術と暗号資産の発展は、経済的自由の新時代を切り開きましたが、同時に前例のないセキュリティ上の課題も生み出しました。最新の攻撃手法の中でも、アドレスポイズニングは非常に洗練された形式の詐欺 (偽アドレス詐欺) として浮上しており、タンファットデジタルは注意深く監視しています。この手法は、プロトコルの技術的脆弱性をターゲットにするのではなく、ユーザーの心理や習慣の最も初歩的なエラーを直接悪用します。
ウォレット ハイジャックや秘密キーの盗難攻撃とは異なり、アドレス ポイズニングは自動化されたソーシャル エンジニアリングであり、攻撃者が被害者の取引履歴を操作して被害者を詐欺師に自発的に送金させるよう誘います。 Tan Phat Digital によるこのレポートでは、デジタル時代に資産を保護するための性質、技術メカニズム、典型的なケース、多層防御戦略を詳細に分析します。
詳細はこちら: とは暗号ウォレット フィッシング?
アドレス ポイズニングの性質と起源
アドレス ポイズニング (特定の文脈では「ダスティング攻撃」とも呼ばれる) は、攻撃者が一定量の暗号通貨を送信するフィッシング戦術です。非常に小さなトークン (通常は 0.01 ドル未満の価値) がユーザーのウォレットに届きます。ただし、このアクションの目的はお金そのものではなく、攻撃者のアドレスが被害者の最近の取引履歴に表示されることです。このアドレスは、被害者が定期的にやり取りするアドレス、または被害者自身のウォレット アドレスとほぼ同一に見えるように特別に設計されています (バニティ アドレス)。
Tan Phat Digital が指摘したように、「アドレス ポイズニング」という名前はその影響を正確に反映しています。攻撃者はユーザーのクリーンなトランザクションのリストを偽のアドレスで「汚染」します。ブロックチェーンの世界では、ウォレットのアドレスは 40 ~ 42 文字の長さの 16 進数の文字列であり、完全に記憶するのは困難です。したがって、ユーザーは元のソースから各文字を確認するのではなく、最近の取引履歴からアドレスをコピーする習慣がよくあります。攻撃者はこの不注意を利用し、次のトランザクションで被害者が実際のアドレスではなく「有害な」アドレスを誤ってコピーすることを期待します。
アドレスポイズニングの危険性は、その「隠された」性質にあります。被害者が悪意のあるスマート コントラクトを承認する必要はなく、シード フレーズの開示も必要ありません。資金を失ったトランザクションは被害者自身によって行われた完全に有効なトランザクションであり、ブロックチェーンの不変の性質により資産の回復が非常に困難になっています。
攻撃の技術的メカニズムと実行プロセス
アドレスポイズニング攻撃を成功させるには、自動化シナリオの組み合わせと慎重な計算準備が必要です。このプロセスは通常、監視、偽装アドレスの作成、履歴のポイズニング、ユーザー エラーの悪用という 4 つの主要な段階を通じて行われます。
監視とターゲットの選択
攻撃者はリアルタイム監視ツールを使用して、イーサリアム、バイナンス スマート チェーン (BSC)、またはトロンなどの人気のあるブロックチェーン上のアクティビティを監視します。ターゲットは多くの場合、特定の基準に基づいて選択されます。
残高が多いウォレット(クジラ)または取引頻度が高い。
USDT、USDC などの人気のあるステーブルコインを含む取引。これらは個々のウォレットと取引所の間で頻繁に転送される資産であるため。
最初のインタラクションが行われたばかりで、ユーザーがアドレスにアドレスを保存していないアドレス ペア。 book.
偽装バニティ アドレスの作成
ウォレット A とウォレット B の間のターゲット トランザクションを特定した後、攻撃者はカスタム アドレス ジェネレータ (バニティ アドレス ジェネレータ) を使用して、最初と最後の文字がウォレット B (またはウォレット A) と一致するウォレット C アドレスを作成します。現在のほとんどのウォレット インターフェイスでは、アドレスが長すぎるため、中間部分が省略記号「...」で短縮されることがよくあります。たとえば、物理アドレス 0x123...89abc は、アドレス 0x123...xyzbc によって偽装されます。
偽装アドレス生成の数学的複雑さは、攻撃者が照合したい文字数によって異なります。 16 進数 (基数 16) の文字の特定の $n$ に一致するアドレスが見つかる確率は、次の式で計算されます。
P = (1/16)^n
最初の 4 文字と最後の 4 文字 (合計 8 文字) に一致する一般的な攻撃の場合、攻撃者は平均 $16^8$ (42 億以上に相当) のハッシュを実行する必要があります。最新の GPU クラスターの能力を利用すると、これには数秒または数分しかかからず、攻撃者は一連の大規模なポイズニングを同時に実行できます。
過去のポイズニング手法 (ポイズニング) の分類
追跡を容易にするために、Tan Phat Digital はポイズニングの最も一般的な 2 つの形式を次のように分類しています。
ダスト トレーディング(ダスティング):
メカニズム: 非常に少量のトークン (例: 0.0001 TRX または 0.01 USDT) を送信します。
識別:
ゼロ値トランザクション転送):
メカニズム: トークン コントラクトの
transferFrom関数を利用して、被害者のウォレットから 0 トークンを送信するトランザクションを作成します。識別:履歴では「送信済み」トランザクションとして表示され、被害者に以前に送金したことがあるように思い込ませます。
技術的なゼロバリュー転送は、0 単位の資産の転送を行うためにウォレット所有者の許可を必要としないため、特に危険です。これにより、取引履歴は被害者が偽のアドレスを積極的に操作したように見え、ユーザーの目にはアドレスの信頼性が高まります。
混乱悪用フェーズ
被害者はその後実際の取引を行う必要がある場合、取引履歴を開いて以前に使用したアドレスを再度見つけます。偽装されたアドレスはリストの先頭にあり、実際のアドレスと同じ識別文字 (開始/終了) を持っているため、被害者はそれをコピーして送金を行います。トランザクションが署名され、ネットワークにブロードキャストされると、資金は詐欺師のウォレットに直接転送され、回収することはできません。
統計分析と世界的な影響規模
ブロックチェーン セキュリティ組織の調査によると、アドレス ポイズニングは個人ウォレット ユーザーにとって最大の脅威の 1 つとなっています。これらのキャンペーンの規模は常に拡大しており、一般ユーザーと大規模組織の両方を対象としています。
攻撃の試みと被害に関するデータ (2022 年から 2024 年)
以下は、Tan Phat Digital がまとめた注目すべきセキュリティ指標です:
攻撃試行の合計数: 2 億 7,000 万回以上 (イーサリアムとデータに関するデータ) BSC)。
標的となった被害者の数: 1,700 万以上のウォレット(大規模な自動化の実証)。
確認された損失総額: 8,380 万ドル以上(公式に報告された事例のみ)。
成功率 (ROI): 58.363% (充当額と比較したガスとインフラストラクチャのコストに基づいて計算)。
なりすましアドレスの数: 新しく作成されたアドレスの 1% を占める (ピーク時のイーサリアム ネットワークの統計)。
試行ごとの成功率は非常に低いが (なりすましアドレスの約 0.03% のみが資金を受け取る)、導入コストと機能の自動化が非常に低いため、攻撃者は少数のユーザーの小さなミスから数百万ドルの利益を得る可能性があります。
詳細: 間違ったブロックチェーンへの送信ネットワーク 取り戻すことはできますか?
チェーン移行の傾向
当初、ポイズニングへの対処は、資産価値が高いためイーサリアムに重点を置きました。しかし、イーサリアムのガス料金が上昇したため、犯罪グループは最小限のコストで大規模なスパムキャンペーンを実行するために、Tron、Polygon、Binance Smart Chainなどの取引コストの低いネットワークに移行しました。特に Tron ネットワークでは、「TRX ダスト」の送信が非常に一般的な問題となっているため、ウォレットはこれらのトランザクションを隠すために特殊なフィルターを導入する必要がありました。
大規模詐欺のケーススタディ
アドレスポイズニングの惨状を理解するために、Tan Phat Digital による大規模投資家 (クジラ) が関与した実際の事件を見てみましょう。
5,000 万米ドルの USDT 盗難 (12 月) 2025)
2025 年 12 月 20 日、仮想通貨トレーダーは完全なアドレス ポイズニング攻撃シナリオで 49,999,950 USDT を失いました。
03:06 UTC: 被害者は、Binance から個人のウォレットに対して 50 USDT 相当のテスト トランザクションを実行し、アドレスが確実に暗号化されていることを確認します。正しい。
即時: 攻撃者のスクリプトは、最初の 5 文字と最後の 4 文字が被害者のウォレット アドレスと同じバニティ アドレスを作成します。
ポイズニング: 攻撃者は偽のアドレスから被害者のウォレットに少量の USDT を送信し、偽のアドレスを履歴の先頭から消去します。
03:32 UTC: わずか 26 分後、被害者は先頭のアドレスをコピーして 4,990 万ドルを送信します。 USDT。
マネーロンダリング: 攻撃者 テザーによるウォレットの凍結を避けるために直ちに DAI に交換し、その後 Tornado Cash ミキサーに転送します。
7,100 万米ドルの WBTC を回収 (2024 年 5 月)
イーサリアム ユーザーはアドレス ポイズニングにより 1,155 WBTC を失いました。幸いなことに、ブロックチェーンセキュリティ会社が介入して交渉した結果、攻撃者は6,800万ドルを返還し、ビットコイン価格裁定取引から得た利益300万ドルを保持した。これは、セキュリティ部門の専門性のおかげで資産を回復できる稀なケースです。
アドレス ポイズニングと他の形式の偽アドレス詐欺を比較する
Tan Phat Digital では、ユーザーが簡単に区別できるように、詐欺フォームの識別特性を比較しています。
アドレス ポイズニング:
インストール要件: いいえ、デバイス上に悪意のあるコードは必要ありません。
方法: トランザクション履歴でのなりすまし。
ターゲット: 人間の識別エラー。
サイン: 価値が 0 または
クリッパー マルウェア:
インストール要件: マシンがトロイの木馬/マルウェアに感染している必要があります。
方法: を押したらすぐにクリップボード内のデータを変更します。 「コピー」。
目的: コンピュータ システムに直接干渉します。
兆候: 貼り付けられたアドレスは、コピーしたアドレスとまったく異なります。
フィッシング サイト:
インストールが必要です:インストールは必要ありません。Web にアクセスするだけです。
方法: ユーザーを誘導して悪意のあるトランザクションに署名させます。
目標: 信頼詐欺またはソーシャル エンジニアリング関連。
兆候: 偽のドメイン名 (URL)、本物と 1 文字間違っています。
アドレスポイズニングの成功の背後にある心理
攻撃者は人間の認知バイアスと生物学的限界を深く利用します:
部分パターン マッチング):通常、脳はウォレット アドレスの最初と最後の数文字である「アンカー ポイント」しか覚えていません。攻撃者は、これらのアンカー ポイントに完全に一致するアドレスを作成して、高速思考のシステムを欺きます。
親しみやすさの効果: ほこりの多いトランザクションを多数送信すると、偽のアドレスが「よく知られている」という感覚が生まれ、被害者はそのアドレスがトップに表示されたときの疑念が薄れます。
時間のプレッシャー: 攻撃者は、ユーザーが急いで取引所に資金を送金することを利用します。価格が変動したときに販売するため、詳細なチェックを省略します。
Tan Phat Digital の多層セキュリティ戦略
資産を保護するために、Tan Phat Digital はユーザーに次の厳格なセキュリティ手順を実行することを推奨します。
個人取引の規律
すべての文字を確認する: 先頭と末尾だけをチェックするのは絶対にやめてください。アドレスの 40 ~ 42 文字をすべて比較します。
アドレス帳を使用する: 履歴からコピーするのではなく、常にウォレットに保存されている連絡先からアドレスを保存して選択します。
ホワイトリストを有効にする: 取引所では、最初に確認済みのアドレスへのみ出金を許可します。
技術的セキュリティを強化する
- (テストトランザクション): 常に最初に少額を送金し、その金額が実際に受け取り側のウォレットに届いたことを確認してください。
サポート ツールと Web3 ファイアウォール
2025 ~ 2026 年には、Tan Phat Digital が推奨するセキュリティ ツールが爆発的に増加します。
Kerberus Sentinel3: 検出および警告ブラウザ拡張機能リアルタイムのアドレス偽装レポート。
Pocket Universe と Blockaid: 署名する前にトランザクションをシミュレートし、異常な兆候を警告します。
ウォレット ガード: セキュリティ層は、ウォレットの表示履歴からほこりの多いトランザクションを隠すのに役立ちます。
犯罪者の将来と専門化
アドレスポイズニングは、「Scam-as-a-Service」モデルに従って強力に進化しています。ポイズニング ツールキットはダークネットで広く販売されており、技術的な専門知識を持たない攻撃者が数百万ドル規模のフィッシング キャンペーンを実行できるようになります。
典型的なキャンペーンの ROI 分析:
82,000 個のバニティ アドレスの作成コスト: ~ 120,000 米ドル。
(よくある質問)
1.アドレスポイズニングとは正確には何ですか?これは、最初と最後の文字が通常使用しているウォレット アドレスと同一である「偽装」アドレスから、攻撃者が少額またはゼロ値のトランザクションをウォレットに送信するフィッシング手法です。目的は、今後の取引履歴からこの偽のアドレスを誤ってコピーしてしまうことです。
2. 「ダスティング」 攻撃とは違うのでしょうか目的が違います。ダスティング攻撃は、行動を追跡したり、ウォレットのプライバシーを侵害するためによく使用されます。一方、アドレスポイズニングでは、これらの「ダスト」トランザクションを使用して、アドレス偽装を通じて詐欺師に不正な送金を直接誘導します。
3.私が何もしていないのに、詐欺師が私のウォレットから「送信済み」トランザクションを作成できるのはなぜですか?攻撃者は、トークン スマート コントラクト (USDT/USDC など) の transferFrom 関数を悪用して、ウォレットから 0 単位の資産の転送を実行します。値が0なので承認は不要ですが、「送信」コマンドとして取引履歴に記録されます。
4.私のアドレスが汚染された場合、私の秘密キーは公開されますか? いいえ、アドレス汚染がウォレットのテクノロジーに侵入したり、回復フレーズを盗んだりすることはありません。それは単なる視覚的欺瞞の一種です。その偽のアドレスに積極的に資金を送金しない限り、あなたの資産は安全です。
5.攻撃者はなぜ「バニティ アドレス」 を使用するのですか? バニティ アドレスを使用すると、攻撃者はウォレット アドレス内の特定の文字をカスタマイズできます。彼らは、ユーザーの素早いチェック習慣を騙すために、最初と最後の 4 ~ 6 文字が実際のアドレスと正確に一致するアドレスを作成します。
6. Ledger や Trezor などのコールド ウォレットはこれを防ぐのに役立ちますか? コールド ウォレットを使用すると、独立したモニターでアドレスを確認できるため、エラーを検出する能力が高まります。ただし、コンピュータからアドレスを誤ってコピーし、コールド ウォレット画面の各文字を注意深く確認しなかった場合でも、不正な取引が承認される可能性があります。
7.最も一般的に標的にされるブロックチェーンはどれですか? 攻撃者は非常に低コストで何百万もの「有害な」トランザクションを送信できるため、Tron、Polygon、Solana、Binance Smart Chain (BSC) などのトランザクション コストが低いネットワークが主な標的となります。しかし、イーサリアムもガス料金削減のためのアップグレード後に大幅な上昇を記録しました。
8.これらの攻撃はどれくらいの頻度で行われていますか?調査によると、2022 年から 2024 年の間に、イーサリアムと BSC の 2 つのネットワークだけで 2 億 7,000 万件を超えるアドレス ポイズニングの試みが行われ、1,700 万以上の被害ウォレットが標的になりました。
9. 2024 年 5 月に 7,100 万米ドルの WBTC の損失はどのようにして起こったのでしょうか? クジラが誤って履歴から偽者のアドレスをコピーし、1,155 WBTC を詐欺師に送信しました。チェーン上の交渉努力とセキュリティ機関からの圧力の後、攻撃者は利益の一部を保持した後、資金のほとんどを返還しました。
10.誤って送金してしまった場合、お金を取り戻すことはできますか? 非常に困難です。ブロックチェーンのトランザクションは不変であり、元に戻すことはできません。唯一の方法は、オンチェーンメッセージを通じて攻撃者と交渉するか、専門のセキュリティユニットの介入を依頼して取引所の資金を追跡して凍結することです。
11. 「Clipper Malware」 との違いは何ですか? アドレスポイズニングは、履歴からの誤ったコピーに基づいています。 Clipper Malware は、コンピュータに感染する悪意のあるコードで、「コピー」コマンドを押すとすぐに、クリップボード内の正しいアドレスを泥棒のアドレスに自動的に置き換えます。
12. MetaMask ウォレットには、この種の詐欺に関する警告はありますか? MetaMask は、ゼロ価値トランザクションに対する警告を実装しており、履歴からコピーするのではなく、「連絡先」機能を使用して信頼できるウォレットを保存することをユーザーに推奨しています。
13. 「テスト トランザクション」 は常に安全ですか? テスト トランザクションは良い習慣ですが、攻撃者はボットを使用して、テストの送信に成功した数秒後に偽装アドレスをすぐにウォレットに送信することがよくあります。再確認せずに大規模な転送のアドレスを取得するために戻ってしまうと、すぐに罠にはまってしまいます。
14.大規模詐欺で窃盗犯が DAI と交換することが多いのはなぜですか?USDT はテザー会社によって管理されているため、窃盗犯は詐欺として報告されたウォレット内の資産を凍結する権利を持っています。対照的に、DAI は分散型ステーブルコインであり、介入したり凍結したりできる組織が存在しないため、窃盗犯がより安全に資産を分散させるのに役立ちます。
15.この詐欺を検出するために現在最適なツールは何ですか? Tan Phat Digital は、Kerberus Sentinel3、Pocket Universe、Wallet Guard などのユーティリティを推奨しています。これらのツールはトランザクションをシミュレートし、偽者または不審なアドレスとやり取りしていることを検出した場合に警告を発します。
アドレスポイズニングは、ブロックチェーン世界の安全がアルゴリズムだけでなく警戒心からもたらされることを証明しています。 Tan Phat Digital の専門家チームは、このレポートがお客様が自信を持って資産を保護できるよう包括的な見解を提供できることを願っています。
覚えておいてください: ヘイストは詐欺師の最大の味方です。 「確認」ボタンを押す前に、さらに 10 秒かけてウォレットアドレス全体を確認してください。 Tan Phat Digital は常に最新のサイバーセキュリティ トレンドを更新します。
シェア
