#イーサリアムセキュリティアラート

$50M アドレスポイズニングに負けた：なぜウォレットUXが今や重要な攻撃面であるのか
最近の$50 百万USDTの盗難は、リテールユーザーと機関の両方に影響を与える静かでありながら非常にスケーラブルな脅威を暴露しました：アドレスポイズニング攻撃です。これはスマートコントラクトの悪用やプロトコルの失敗ではなく、攻撃者が工業化することを学んだ予測可能なUXの弱点でした。
この場合、被害者は知っているウォレットに資金を送信するつもりでした。彼らは知らなかったのですが、攻撃者はすでに小さなダストトランスファーを使用して、彼らの取引履歴に偽の類似アドレスを注入していました。悪意のあるアドレスは、正当なアドレスと同じ最初と最後の文字を共有していました。ほとんどのウォレットはアドレスを視覚的に切り詰めるため、その違いは隠れたままでした。
「最近の取引」リストと略式アドレス形式を頼りに、被害者は毒されたアドレスをコピーし、大規模な送金を承認しました。数分以内に、ほぼ$50 百万が攻撃者に取り返しのつかない形で送信されました。
これは孤立した誤りではありません — それはシステム全体の設計の失敗です。
アドレスポイズニングは、ウォレットがユーザーに部分的な情報を信頼させるために機能します。アドレスが0xABCD…7890のように表示されると、ユーザーは無意識のうちに見える部分だけを検証します。攻撃者は、マッチする接頭辞や接尾辞を持つ数千のアドレスを生成し、それらを低コストのトランザクションを通じてウォレットに仕込むことでこれを悪用します。現代のGPUツールを使えば、このプロセスは安価で迅速かつ非常に効果的です。
さらに懸念されるのは、数十のイーサリアムウォレットの研究によると、視覚的に似たアドレスにユーザーが接触する際に、ほとんどが意味のある警告を提供していないことです。差分ハイライトも、類似性アラートもありません。初めての取引や高額な送金に対しても抵抗がありません。つまり、経験豊富なオペレーターでさえも騙される可能性があるということです。
$50M の事件では、被害者は一般的に推奨される安全策である小規模なテスト取引を行いました。しかし、その直後に最終的な送金は毒されたアドレスに送られてしまいました。攻撃者は迅速に資金をスワップし、資産をブリッジし、ミキサーを通じてルーティングしました — 回復のウィンドウを30分以内に閉じてしまいました。
要点は明確です：セキュリティはもはやユーザーの警戒だけに依存することはできません。
ウォレットはアドレス検証をコアセキュリティ機能として扱わなければなりません。完全なアドレス表示、視覚的比較ツール、近似一致検出、および不慣れなアドレスや類似アドレスに対する強力な警告は標準であるべきです。ENSやネーミングシステムは役立ちますが、透明に解決され、独立して検証される場合に限ります。
トレーダー、DAO、そして財務管理者にとって、運営の規律は今や必須です。
取引履歴のアドレスを決して信頼しないでください
必ず別のチャネルを通じて完全なアドレスを確認してください
アロウリストとマルチシグ承認を使用する
ウォレットをダスティングや似たような活動のために監視する
暗号のような敵対的システムでは、セキュリティのない利便性が攻撃ベクターとなります。ウォレットのユーザーエクスペリエンスが進化するまで、アドレスポイズニングはエコシステムの中で最も迅速でクリーン、かつ利益を上げやすい攻撃手法の一つであり続けるでしょう。