2025年12月20日、暗号資産の世界でまた新たな手口による大規模な被害が発生した。
およそ5000万ドル、つまり約77億5000万円ものテザー(USDT)が、一瞬にして消失したのだ。
今回使われたのは「アドレスポイズニング」と呼ばれる方法だ。
アドレスポイズニング詐欺の仕組みはとても巧妙だ。
普段、ウォレットのアドレスは長くて覚えきれないため、多くの人は取引履歴からコピー&ペーストして送金先を指定している。
この習慣を逆手に取るのが、この詐欺。
攻撃者はまず、被害者の過去の取引履歴に非常によく似た偽のアドレスから少額の送金を行う。
見た目は、最初と最後の数文字が一致しており、ぱっと見た感じでは判断しにくい。
この偽アドレスが履歴に残ることで、被害者が誤って選択し、多額の資金を誤送金してしまうのだ。
実際、今回のケースでは、約499万9950USDTもの大金が犯人の用意した偽アドレスへと送金されてしまった。
この攻撃が成立した決定的な要因は「人間の行動パターン」と「技術的な脆弱性」が絶妙に組み合わされている点にある。
ウォレットの履歴表示機能と、利用者の行動習慣の隙間を突いているため、ただの不注意では済まされない。
大量のUSDTはその後イーサリアム(ETH)に変換され、複数のウォレットに分散されていった。
さらに、一部はTornado Cashという資金洗浄に使われる匿名化ツールに送られ、足跡を消そうとした形跡もある。
“透明性”がうたわれているブロックチェーンであっても、こうしたツールの存在で追跡が困難になるのは実に興味深い。
被害者はイーサリアムブロックチェーンを通じてハッカーに直接メッセージを発信した。
「法執行機関やサイバーセキュリティ機関と連携して活動を24時間監視している」と警告し、盗まれた資産の98%を返還するよう要求。
返還に応じれば最大100万ドル(約1億5500万円)の謝礼金を払う用意もあるという。
しかし、返還しなければ「無期限で追及する」とも明言している。
この事件から、アドレスポイズニングが人為的なミスによる単なる損失ではなく、十分に計算された詐欺手法として今後も脅威となることが明格になったと思う。
ウォレットやトランザクション履歴のUI、セキュリティ面での改良が急務であり、ちょっとした認証機能や、アドレス一致をダブルチェックするシステムがあれば被害を減らせたはずだと感じる。
現代の詐欺は技術×人間心理。
開発する側がもっとユーザー体験とセキュリティの接点を意識しないと、今後も同じような手口が氾濫しそうで、身が引き締まる思いだ。
