メインコンテンツまでスキップ

コピー&ペースト詐欺:単純な習慣が暗号ウォレットから何百万ドルも奪う仕組み

· 約6分
Dora Noda
Dora Noda
Software Engineer

暗号を送るとき、あなたのルーティンは何ですか? 多くの人は、取引履歴から受取人のアドレスをコピーすることです。 結局、0x1A2b...8f9E のような 40 文字の文字列を暗記できる人はいません。 これは誰もが使う便利なショートカットです。

しかし、その便利さが綿密に仕掛けられた罠だったらどうでしょうか?

ブロックチェーンアドレス汚染 と呼ばれる破壊的に効果的な詐欺が、まさにこの習慣を悪用しています。 カーネギーメロン大学の最新研究によると、この脅威は驚異的な規模に達しています。 たった 2 年間で、Ethereum と Binance Smart Chain(BSC)ネットワークだけで、詐欺師は 2.7 億件以上の攻撃試行 を行い、1,700 万人の被害者 を狙い、少なくとも 8,380 万ドル を盗み出しています。

これはニッチな脅威ではなく、現在稼働している最大かつ最も成功した暗号フィッシングスキームの一つです。 仕組みと、資産を守るためにできることをご紹介します。

詐欺の仕組み 🤔

アドレス汚染は視覚的トリックのゲームです。 攻撃者の戦略はシンプルながら巧妙です。

  1. 類似アドレスの生成
    攻撃者は、あなたが頻繁に送金するアドレスを特定し、強力なコンピュータで 先頭と末尾の文字が全く同じ 新しい暗号アドレスを生成します。 多くのウォレットやブロックエクスプローラはアドレスを短縮表示する(例:0x1A2b...8f9E)ため、偽アドレスは一目で本物と見分けがつきません。

  2. 取引履歴への「汚染」
    次に、攻撃者はその類似アドレスをあなたのウォレット履歴に入れます。 これは「汚染」トランザクションを送ることで実現します。 方法は以下のいずれかです。

    • ごく小額の送金:偽アドレスから極小額(例:$0.001)を送金し、あなたの最近の取引リストに表示させます。
    • ゼロ価値転送:多くのトークンコントラクトに備わっている機能を悪用し、偽のゼロドル転送を作成します。 これにより、偽アドレスが「あなた」から送られたように見え、信頼性が増します。
    • 偽トークン転送:価値のない偽トークン(例:USDTT)を作成し、過去の実際の取引額に似せた転送を偽アドレスへ行います。

  3. ミスを待つ
    罠は完成です。 次に正当な相手に支払う際、取引履歴を確認し、正しいと思われるアドレスをコピーして送金します。 ミスに気付いた時には資金は既に消えており、ブロックチェーンは不可逆的なので銀行に電話しても取り戻すことはできません。

犯罪組織の実態 🕵️‍♂️

これは単独ハッカーの仕業ではありません。 研究は、これらの攻撃が大規模で組織化された、極めて利益率の高い犯罪集団によって実行されていることを示しています。

標的プロファイル

攻撃者は小口アカウントに時間を浪費しません。 以下の条件を満たすユーザーを体系的に狙います。

  • 資産が豊富:ステーブルコインの残高が多い。
  • 取引が活発:頻繁に送金を行う。
  • 高額トランザクション:大きな金額を移動させる。

ハードウェアの軍拡競争

類似アドレスの生成は総当たり計算タスクです。 マッチさせる文字数が増えるほど指数関数的に難易度が上がります。 多くの攻撃者は標準的な CPU で「ほどほどに」偽アドレスを作りますが、最も高度な犯罪集団はさらに一歩進んでいます。

このトップティアの集団は、ターゲットアドレスの 20 文字 まで一致させた偽アドレスを生成しています。 標準的なコンピュータではほぼ不可能であり、研究者は GPU ファーム を使用していると結論付けました。 つまり、高性能ゲームや AI 研究で使われるような大規模な GPU クラスタを投入しているのです。 巨額の投資を行い、被害者から容易に回収しているため、ビジネスとして急成長しています。

資金を守る方法 🛡️

脅威は高度ですが、防御策はシンプルです。 悪習慣を断ち、注意深いマインドセットを取り入れることが鍵です。

  1. 全ユーザーへの必須対策(最重要)

    • アドレス全体を確認するConfirm をクリックする前に、5 秒余分に時間を取り、アドレス全体を文字ごとに目視で確認してください。 先頭と末尾だけを見るのはやめましょう。
    • アドレス帳を活用する:信頼できるアドレスをウォレットのアドレス帳や連絡先リストに保存し、送金時は必ずこの保存済みリストから選択してください。 動的な取引履歴から選ばないように。
    • テスト送金を行う:大口や重要な支払いの場合、まずごく小額を送金し、受取人が受領したことを確認してから本送金してください。

  2. ウォレット開発者への提案

    • ユーザーインターフェースを改善し、デフォルトでアドレスの表示文字数を増やす、または「ごく小額・ゼロ価値の取引しか行っていないアドレスへの送金」時に強力な警告を出す機能を追加してください。

  3. 長期的解決策

    • Ethereum Name Service(ENS) のように、人間が読める名前(例:yourname.eth)をアドレスにマッピングできるシステムは、この問題を根本的に解消します。 広範な採用が鍵です。

分散型の世界では、あなたが自分自身の銀行であり、同時に自分自身のセキュリティ責任者でもあります。 アドレス汚染は便利さと不注意を狙う静かな脅威です。 意識的に二重チェックを行うことで、あなたの努力で得た資産が詐欺師の罠にかかることを防げます。

Share on Twitter