ある投資家が「アドレスポイズニング」の手口に遭い、5000万ドルを失いました。一体何が起きたのでしょうか?また、このリスクから身を守るにはどうすればよいのでしょうか?
投資家が攻撃により数千万ドルを失う
分析会社Lookonchainは今週、ある仮想通貨投資家が巨額の損失を被ったと報告しました。被害者は5000万USDTを送金しようとしており、まずテストのために自身のウォレットアドレスに50USDTを送金しました。
この最初の送金が成功すると、彼女は5,000万ドルを、同じアドレスだと思い込んで送金しました……しかし、そこにはハッカーが待ち構えていました。ハッカーは「アドレスポイズニング」という手法を用いて資金を盗み出したのです。
この種の「ポイズニング」の手口は単純です。被害者のアドレスと先頭および末尾の文字が似ているアドレスを作成し、少額を被害者に送金するものです。その目的は、被害者がアドレス全体を確認せず、取引履歴からアドレスをコピーするだけで済ませるように仕向けることにあります。
5,000万ドルが盗まれ、資金は洗浄されました
Lookonchainによると、今回の事件では次のようなことが起こりました:
多くのウォレットでは、ユーザーインターフェースを改善するためにアドレスの中央部分を「…」で隠しているため、多くのユーザーは取引履歴からアドレスをコピーすることが多く、通常は先頭と末尾の文字しか確認しません。
被害者のアドレスの隣にある偽のアドレス
その結果、5,000万USDCが消失しました。Binanceから資金を引き出そうとした被害者は、実際には偽装されたアドレスに送金してしまいました。
SlowMistが共有した情報によると、詐欺師はその後、迅速に資金を洗浄しました。まずMetaMask Swapを介してUSDTをDAIに交換し、次にそれらすべてをETHに交換しました。最終的に、これらのETHを暗号資産ミキサーのTornado Cashに送金しました。
詐欺師との和解提案
その結果、USDCの本来の所有者は、わずか数分で数千万ドルを失いました。これを受け、彼は自身の暗号資産を盗んだ人物との和解を提案するため、「オンチェーン」メッセージを投稿しました:
私たちは正式に刑事告訴を行いました。法執行機関、サイバーセキュリティ機関、および複数のブロックチェーンプロトコルの協力を得て、私たちはすでにあなたの活動に関する実質的かつ実用的な情報を収集しています。
彼はハッカーに対し、100万ドルを保持し、残りの大部分を返還するよう提案しています。その見返りとして、元の所有者は訴訟を起こさないことを約束します:
これが、この件を友好的に解決するための最後のチャンスです。ここに、盗まれた資産の98%を48時間以内に以下のアドレスへ返還することを要求します。脆弱性を特定した「ホワイトハット」としての報奨金として、1,000,000米ドルを保持することを許可します。
現時点では、資金は返還されていません。これは、送金時にアドレスをコピーする際には細心の注意を払う必要があることを示す、さらなる証拠です。ブロックチェーンエクスプローラーからアドレスをコピーすることは絶対に避け、常にアドレス全体を綿密に確認することをお勧めします。
