暗号資産トレーダーが、巧妙な「アドレス・ポイズニング」攻撃の被害に遭い、テザー社のUSDTで5000万ドルを失った。
12月20日、ブロックチェーンセキュリティ企業スキャムスニファーが、この攻撃は被害者が自身のアドレスへ50ドル分の小額テスト送金を行った直後に始まったと報告した。
Sponsoredアドレス毒殺スキームの経緯
なお、こうした標準的な事前確認手法は、資金を正確なアドレスに送金できているか確認するためにトレーダーが用いることが多い。
しかし、その動作が攻撃者の自動スクリプトを呼び込んだ。スクリプトは即座に「偽造」ウォレットアドレスを生成した。
偽アドレスは、本来の送金先と英数字列の先頭と末尾を一致させて作成される。差異は中央部分の文字のみであり、見分けるのが困難。
攻撃者は続いて、その偽アドレスから被害者のウォレットへごく少額の暗号資産を送金した。
Sponsored Sponsoredこの取引で偽アドレスが被害者の直近取引履歴に表示される。多くのウォレットでは、アドレス詳細を一部しか表示しない。
被害者は、この視覚的な略式表示を参考に履歴からアドレスをコピーしたが、完全な文字列を確認しなかった。そのため、資金は安全な個人ウォレットではなく、攻撃者へUSDT4,999万9950枚が直接送金された。
資金を受け取った後、悪意ある攻撃者は、資産の差し押さえリスクを回避すべく迅速に行動した。オンチェーン記録によれば、攻撃者は発行元によって凍結可能なUSDTを即座にDAIステーブルコインへとMetaMask Swapで交換した。
攻撃者はその後、資金をおよそ1万6680ETHへ変換した。
Sponsored Sponsored履歴の隠蔽をさらに進めるため、攻撃者は得たETHをTornado Cashへ入金した。この分散型ミキシングサービスは、送金元と送金先の間のつながりを切断する機能を持つ。
被害者が100万ドルの懸賞金を提示
資産の取り戻しを図り、被害者はオンチェーン上で、盗まれた資金の98%返還と引き換えに100万ドルのホワイトハット報奨金を提示するメッセージを送信した。
Sponsored「正式に刑事事件として届出を行った。法執行機関、サイバーセキュリティ機関、複数のブロックチェーンプロトコルと協力し、すでにあなたの活動に関する具体的かつ実効性の高い情報を入手済みだ」とそのメッセージは記している。
加えて、48時間以内に応じなければ「容赦なき」法的措置を追及すると警告した。
「協力しない場合は、法的ならびに国際的な司法当局を通じて事態を拡大させる。身元は特定され、関係機関へ提供する。全面的な正義の実現まで、刑事・民事両面から断固として追及する。これは要請ではない。取り返しのつかない事態を避ける最後の機会と考えるべきだ」と被害者は述べた。
この事件は、デジタルウォレットの取引情報表示仕様に根強い脆弱性があり、攻撃者がブロックチェーンコードの不備ではなく利用者の行動習慣を突いている実態を示している。
セキュリティアナリストは、利便性やデザインの理由でアドレスを省略表示する慣行が継続的なリスクをもたらしていると繰り返し警告してきた。
この問題が解決されなければ、攻撃者はアドレスの先頭と末尾だけを確認するという利用者の傾向を今後も悪用する可能性が高い。
