アドレス・ポイズニング:コピペ 1 回で数百万ドルを奪う、密かに広がる詐欺の手口
2025年12月、一回のコピペミスによってある暗号資産トレーダーは5,000万ドルを失いました。スマートコントラクトの脆弱性が突かれたわけではありません。非公開鍵が漏洩したわけでもありません。被害者は単に、自分の取引履歴からウォレットアドレスをコピーしただけでした。そのアドレスは本物とほぼ同一に見えましたが、実際には攻撃者のものでした。これが「アドレス・ポイズニング(Address Poisoning)」です。DeFiにおける最も巧妙で、過小評価されている攻撃ベクトルへようこそ。
アドレス・ポイズニングとは何ですか?
アドレス・ポイズニングは、人間がブロックチェーンアドレスを扱う方法を逆手に取ったソーシャルエンジニアリング攻撃です。コードの脆弱性を悪用する従来のハッキングとは異なり、この詐欺はより根本的な弱点である「人間の行動」をターゲットにしています。
具体的な仕組みは以下の通りです:
- 監視: 攻撃者は、定期的に送金を行っている高額ウォレットをブロックチェーン上で監視します。
- 類似アドレスの生成: Profanity2 や Vanity-ETH などの GPU 加速型バニティアドレスツールを使用して、被害者が頻繁に使用する受信アドレスの最初の 4 ~ 6 文字と最後の 4 ~ 6 文字が一致するウォレットアドレスを生成します。
- 履歴の汚染(ポイズニング): 攻撃者は、類似アドレスから被害者のウォレットに、価値がゼロまたは 1 セントの端数といった極少額のトランザクションを送信します。これにより、被害者の取引履歴に偽のアドレスを「植え付け」ます。
- 罠が発動する: 後日、被害者が資金を送金する際、取引履歴を開き、いつもの受信アドレスに見えるものを探し、それをコピーして送金します。資金は攻撃者に直接送られます。
攻撃全体にかかる費用は、ガス代としてわずか数セント程度です。一方で、得られる報酬は数百万ドルに達することもあります。
その規模は驚異的です
USENIX Security 2025 で発表された学術研究により、この脅威の真の大きさが明らかになりました。2 年間の調査期間中、研究者は Ethereum と Binance Smart Chain 全体で 2 億 7,000 万件のポイズニングの試み を特定しました。これは約 5,000 万件の類似アドレス を使用し、1,700 万人以上のユニークな被害者アドレス を標的にしたものです。
確認された損失額は、Ethereum だけでも 8,380 万ドル を超えています。これらは文書化されたケースのみであり、多くの被害者が報告しなかったり、何が起こったのかさえ気づかなかったりするため、実際の数字は間違いなくさらに高くなります。
Fusaka の影響
2025年12月3日に行われた Ethereum の Fusaka(フサカ)アップグレードは、意図せずアドレス・ポイズニングを強力に後押ししてしまいました。取引手数料が約 6 分の 1 に削減されたことで、このアップグレードは大規模なポイズニングキャンペーンの実行コストを劇的に下げました。その結果はすぐに見られました:
- 1 日のダストトランザクションは 167,000 件 に急増し、2026年1月には 1 日で 510,000 件 のピークに達しました。
- ポイズニングの試みは、2025年11月の 628,000 件 から、2026年1月には数百万件へと急増し、わずか 2 ヶ月で 5 倍以上に増加しました。
- 新しくアクティブに��なった Ethereum アドレスの 67% が、最初のトランザクションで 1 ドル未満を受け取っており、これは組織的なダストキャンペーンの明らかな指標です。
Fusaka 後、Ethereum の 1 日のトランザクション数は約 50% 増加し、アクティブアドレスは約 60% 増加しましたが、この「成長」のかなりの部分は、オーガニックな普及ではなく、ポイズニングボットによって生み出された人工的なものでした。
5,000 万ドルのミスの解剖学
これまでで最も壊滅的なアドレス・ポイズニング攻撃は、2025年12月20日に発生しました。ある暗号資産トレーダーは、まず正しいアドレスに少額のテスト送金を行いました。これは標準的なベストプラクティスです。しかし、攻撃者はそれを見ていました。
わずか数分以内に、攻撃者は被害者の送信先と一致する類似アドレスを生成し、履歴を汚染するためにダストトランザクションを送信して待ち構えました。わずか 26 分後、被害者は取引履歴から汚染されたアドレスをコピーし、49,999,950 USDT を攻撃者に直接送金してしまいました。
攻撃者は外科的な精度で動きました:
- 30 分以内に、MetaMask Swap を通じて 5,000 万ドル全額の USDT を DAI にスワップしました。これは戦略的な選択です。Tether はフラグが立てられたウォレットの USDT を凍結できますが、分散型の DAI にはそのような中央集権的��な管理機能がないためです。
- DAI を約 16,690 ETH に変換しました。
- 追跡を困難にするため、ETH を Tornado Cash に入金しました。
被害者はオンチェーンメッセージを公開し、資金の 98% の返還を求め、100 万ドルのホワイトハット・バウンティ(報奨金)を提示しました。しかし、資金が返還されることはありませんでした。
Sillytuna 事件:デジタル攻撃が物理的脅威に変わるとき
2026年3月5日、暗号資産インフルエンサーの「Sillytuna」は、Aave でのアドレス・ポイズニング攻撃により 2,400 万ドルの aEthUSDC を失いました。攻撃者はすぐにトークンを ETH にスワップし、約 2,000 万ドルの DAI に変換した後、追跡を複雑にするために一部を Arbitrum にブリッジし始めました。
しかし、この事件はデジタルの窃盗に留まりませんでした。Sillytuna は、攻撃後に 武器や誘拐の脅迫を含む物理的な脅迫 を受けたことを報告しました。被害者は暗号資産の世界から完全に離れる計画を発表しました。この事件は、既知の暗号資産保有者を標的とした、デジタルと物理が組み合わさった攻撃の入り口としてのアドレス・ポイズニングという、恐ろしいエスカレーションを浮き彫りにしました。
2026年のその他の�注目すべき事件:
- 4,556 ETH(1,240 万ドル)が盗難: 2026年1月30日、日常的な OTC 預金を行っていたと思われる被害者から盗まれました。
- 2 人の被害者が合計 6,200 万ドルを紛失: Scam Sniffer によると、2025年12月から 2026年1月の間にアドレス・ポイズニングによって発生しました。
3つの攻撃手法
リサーチャーは、それぞれ異なる技術的メカニズムを悪用する3つの主要なポイズニング戦略を特定しました:
1. 少額送金攻撃 (Tiny Transfer Attacks)
攻撃者は、見た目が似ているアドレスから少額(通常は 10ドル 未満)を送金します。これにより、被害者の取引履歴に正当に見えるエントリが作成されます。攻撃者には実際のトークンコストがかかりますが、説得力のある履歴エントリが生成されます。
2. ゼロ価値送金攻撃 (Zero-Value Transfer Attacks)
ERC-20 の transferFrom 関数を悪用し、攻撃者は トークンを一切消費することなく 取引ログに表示されるトークン転送イベントを作成できます。ERC-20 標準では、金額がゼロの transferFrom 呼び出しが許可されており、ブロックエクスプローラーやウォレットはこれを通常の取引として表示します。これは最も安価で一般的な手法です。
3. 偽造トークン攻撃 (Counterfeit Token Attacks)
攻撃者は、正当なトークン(USDT や USDC など)を模倣した偽のトークンコントラクトをデプロイします。彼らは似たアドレスから価値のない偽造トークンを送信し、多くのウォレットインターフェースで実際の転送と同一に見える取引履歴エントリを作成します。
なぜ従来の防御策が失敗し続けるのか
アドレスポイズニングが存続しているのは、ブロックチェーンのセキュリティと人間の使いやすさの間のギャップを標的にしているからです:
- マルウェア不要: フィッシングやキーロガーとは異なり、アドレスポイズニングは被害者のデバイスへのアクセスを一切必要としません。
- スマートコントラクトの脆弱性悪用ではない: ブロックチェーン自体は設計通りに機能しており、被害者は自らの意思で送金を承認してしまいます。
- 省略表示への依存: ほとんどのウォレットはアドレスを
0xAbCd...EfGhのように、最初と最後の数文字だけを表示します。攻撃者は、この表示されている部分を意図的に一致させます。 - 信頼できるソースとしての取引履歴: ユーザーは自分の取引履歴を信頼できるアドレス帳として扱っていますが、パブリックブロックチェーン上では誰でもそれを操作できることに気づいていません。
- 不可逆性: 一度承認されると、ブロックチェーンの取引を取り消すことはできません。カスタマーサービスに電話することも、チャージバックを申請することもできません。
防御のプレイブック
保護には、個人の規律とエコシステム全体での改善の両方が必要です:
個人ユーザー向け
- 取引履歴からアドレスをコピ�ーしないでください。 アドレスは必ず、保存された連絡先、公式サイト、または受信者との直接的な通信など、元の検証済みソースから取得してください。
- アドレスの「全文」を確認してください。 最初と最後だけでなく、すべての文字をチェックしてください。真ん中の 1文字 が違うだけでも、全く別のウォレットを意味します。
- アドレス帳を徹底的に活用してください。 ほとんどのウォレットは連絡先リストやアドレスのホワイトリストをサポートしています。一度アドレスを確認したら保存し、常に保存された連絡先から送信するようにしてください。
- ENS やブロックチェーンドメインを活用してください。 Ethereum Name Service (ENS) 名(例:
yourname.eth)を使用すると、生のアドレスを扱う必要が完全になくなり、コピー&ペーストのリスクを劇的に軽減できます。 - テスト送金を行い、慎重に確認してください。 テスト送金は良い習慣ですが、2回目にポイズニングされたアドレスをコピーしてしまえば意味がありません。テスト後は、受信者がオフチェーンチャネルを通じて着金を確認したことを確かめてください。
エコシステムレベルのソリューション
業界は対応を始めていますが、進捗には��ばらつきがあります:
- Trust Wallet は 2026年 3月に 32 の EVM チェーンで自動アドレスポイズニング保護機能を開始し、既知のポイズニングアドレスに対してすべての出金取引をリアルタイムでスキャンしています。
- Ledger Live は現在、デフォルトでゼロ価値のトークン転送を非表示にし、取引履歴に表示される前に一般的なポイズニングの試みをフィルタリングしています。
- ウォレットレベルの警告: いくつかのウォレットは、ユーザーの履歴にあるアドレスに酷似しているが一致しないアドレスへの取引にフラグを立てるようになりました。
- クリア署名 (Clear Signing) イニシアチブでは、署名前にハードウェアウォレットの画面で完全な取引の詳細を確認し、承認することがユーザーに求められます。
業界にまだ必要なこと
これらの改善にもかかわらず、重大なギャップが残っています:
- デフォルトでの保護: アドレスポイズニングの防御策は、設定の奥深くに隠されたオプション機能ではなく、すべてのウォレットでデフォルトで有効にされるべきです。
- 完全なアドレス表示: ウォレットは確認ステップで省略されたバージョンではなく、完全なアドレスを表示する必要があります。
- クロスチェーンの調整: 攻撃者はますます盗んだ資金をチェーン間でブリッジするようになっています(Sillytuna の事例に見られるように)。ウォレットの保護は最初からマルチチェーン対応である必要があります。
- プロトコルレベルの緩和策: ERC-20 コントラクトを更新して、権限のない送信者からのゼロ価値の
transferFrom呼び出しを拒否するようにし、プロトコルレベルで最も安価なポイズニング手法を排除することができます。
不都合な真実
アドレスポイズニングは、クリプトの設計思想における根本的な対立を露呈させています。ブロックチェーンを強力にしている特性(パーミッションレス、不変性、仮名性)は、ソーシャルエンジニアリング攻撃にとって完璧な環境でもあります。誰でも任意のアドレスに取引を送信できます。一度送信されると、資金を回収することはできません。そして、アドレスは人間の記憶ではなく、マシンのために設計されています。
確認された 8,380万ドル の損失は、おそらく実際の被害額のほんの一部に過ぎません。多くの被害者は自分がポイズニングされたことにすら気づきません。恥ずかしさから報告しない人もいます。そして、イーサリアムの Fusaka(フサカ)後の手数料削減により、ポイズニングキャンペーンはかつてないほど安価になっており、攻撃対象領域は縮小するどころか拡大しています。
ウォレットがアドレスの検証を後回しにする�のではなく、最優先のセキュリティ事項として扱うようになるまで、アドレスポイズニングは、他のすべてのことを正しく行っていたユーザーから数百万ドルを奪い続けるでしょう。
ブロックチェーンインフラストラクチャを構築するには、アプリケーションの基盤を信頼できることが不可欠です。BlockEden.xyz は、複数のチェーンにわたってエンタープライズグレードの RPC および API サービスを提供しているため、開発者はノードインフラの管理ではなく、安全なユーザーエクスペリエンスの構築に集中できます。詳細は APIマーケットプレイス をご覧ください。