仮想通貨エコシステムにおいて、「アドレスポイズニング」(または「0x00…ポイズニング」)と呼ばれる新たなソーシャルエンジニアリング型の脅威が急速に拡大しています。これは、ユーザーがウォレットアドレスを確認する際に、アドレスの最初と最後の部分のみを見てしまうという習慣を悪用する、巧妙な詐欺手法です。
セキュリティ企業Scam Snifferは最近、この攻撃の深刻化を示す重大な警告を発しました。わずか1つのキャンペーンで、2人の異なる被害者が合計6,200万ドル以上(約3,600万ドルと2,600万ドルの取引)を失うという甚大な被害が確認されました。この事件は、オンチェーンでの詐欺の精度と高額な標的を示しています。
詐欺師はまず、正規の受取人アドレスと同一の最初と最後の数文字を持つ「そっくり」の悪意のあるウォレットアドレスを作成します。次に、この悪意のあるアドレスから被害者のウォレットに対し、ゼロ値に近い無視できる量の「ダスト」トランザクションを送信します。この行為により、悪意のあるアドレスが被害者の最近の取引履歴リストの上位に登録されます。
多額の送金を行おうとする際、被害者は利便性のため履歴からアドレスをコピーしようとしますが、その際、このそっくりアドレスを正規のアドレスと誤認します。通常、被害者は最初と最後の数文字しか確認しないため、疑うことなく送金を承認し、結果として数百万ドルが直接攻撃者の手に渡ってしまいます。
この深刻なリスクを回避するために、セキュリティの専門家は対策の徹底を強く推奨しています。アドレス全体を「一文字残らず」確認することは、もはやオプションではなく、必須のセキュリティ対策です。加えて、取引承認前にセキュリティスキャナーを利用すること、より高い安全性を誇るハードウェアウォレットを使用すること、そして複雑な16進数文字列ではなく読み取り可能な名称を使用できるENS(Ethereum Name Service)などのサービスを活用することが非常に有効です。
Source: Address poisoning recently cost 2 victims over $62M alone: Scam Sniffer
コメント