バイナンス共同創業者のチャンポン・ジャオ氏(通称CZ)は、アドレスポイズニングを「根絶する」ための追加的なセキュリティ対策を提案した。具体的には、ウォレット上での警告表示や、不審なアカウントのブラックリスト化などが含まれる。
「すべてのウォレットは、送金先アドレスが『ポイズンアドレス』かどうかを確認し、該当する場合はユーザーをブロックすべきだ。これはブロックチェーンへのクエリで対応できる」と、ジャオ氏は水曜日に公開したブログ投稿で記した。
アドレスポイズニングはフィッシングの一種で、詐欺師がまず少額のトランザクションを送り付けることで、被害者を不正なウォレットに送金させる手口だ。警戒心の薄いユーザーは、ウォレットの取引履歴から攻撃者のアドレスをコピー&ペーストしてしまうことが多い。
スキャム・スニファーのデータによると、11月には6344人の被害者がフィッシング詐欺で総額770万ドル超を失った。この被害額は、金曜日に単一の被害者が5000万ドル相当のテザー(USDT)を失ったことを主因として、12月にかけて急増すると見込まれている。
「最後に、ウォレットはこうしたスパム取引をどこにも表示すべきではない。(取引額が)少額であれば、単にフィルタリングすればよい」と、ジャオ氏は付け加えた。
フィッシング脅威に対する仮想通貨セキュリティの対応
セキュリティ企業のサーティケイは、フィッシングを2024年における最も被害額の大きい仮想通貨詐欺と位置づけており、攻撃者が10億ドル超を得たと分析している。中でもアドレスポイズニングは、拡大する脅威として浮上している。
初期のフィッシング活動では、詐欺サービス化(scam-as-a-service)されたドレイナーが主流で、攻撃者は既製のソフトウェアをフィッシングキャンペーンに組み込み、ユーザー資金を吸い上げていた。その後、セキュリティ企業が対応を進め、悪質なウェブサイトや不審な承認を警告するブラウザやウォレット向けツールが導入された。
アドレスポイズニングは、取引履歴からウォレットアドレスを習慣的にコピーするユーザーにとって、引き続き大きなリスクとなっている。大半の被害者は資金を取り戻せていないが、まれに注意喚起につながる事例もある。
2024年5月には、ある被害者がアドレスポイズニング詐欺で7100万ドルを失う事案が発生したが、異例にも攻撃者が2週間後に全額を返還した。調査当局が詐欺師の潜在的なIPアドレスを特定したと主張し、圧力が強まったことが背景にあった。
こうした脅威の拡大に対抗するため、バイナンスのセキュリティチームは、アドレスポイズニングへの「解毒剤」と表現する仕組みを開発した。このシステムはアルゴリズムを用い、約1500万件のポイズンアドレスを特定したという。
bitbankで新規口座開設後、1万円の入金でもれなく現金1,000円プレゼント!【PR】
