こんにちは!ホタルです!
仮想通貨の送金時にアドレスをチェックすると思いますが、毎回全文字照らし合わせてるのは大変なので、コピペしたアドレスの最初の4~5文字と最後の4~5文字だけを照合して送金しちゃってませんか?
実はそれ「危険行為」で「ハッカーやクラッカーなどの詐欺師に送金」してしまっている可能性もあるんです!
今回は「アドレスポイズニング攻撃(Address Poisoning Attack)」「ゼロトランスファー攻撃(Zero Transfer Attack)」と呼ばれる仮想通貨詐欺について詳しく調べてみました!
アドレスポイズニング(ゼロトランスファー)攻撃とは?
「アドレスポイズニング攻撃(Address Poisoning Attack)」「ゼロトランスファー攻撃(Zero Transfer Attack)」は、攻撃者(ハッカー・クラッカー)がターゲットユーザーに偽アドレスをコピーさせ、人為的なミスで誤送金させる詐欺のことで「送金詐欺」の一種です。
詐欺といっても最終的に実行してしまうのは自分なので、自分のミスです。
アドレスポイズニング(ゼロトランスファー)は、罠にハマって自分で資産をハッカーに誤送信してしまうという攻撃なんですね。
もし被害に遭ってしまったら、セルフゴックス級のショックですよね・・・。
アドレス汚染の新たな詐欺として、主要ホットウォレットの「Metamask(メタマスク)」や、コールドウォレット(ハードウェアウォレット・プライベートウォレット)の「Ledger(レジャー)」などが注意喚起を行なっています。
攻撃方法
攻撃方法はとてもシンプル。
攻撃者は、ターゲットユーザーの取引履歴を汚す為に、ごく少量のコイン(トークン)を送信してきます。
しかも、そのアドレスは、ターゲットユーザーが普段送金に利用するアドレスに酷似!!
もちろん攻撃に使うトランザクションの取引手数料は攻撃者が支払っています・・・。
ターゲットユーザーは、ウォレットの取引履歴に記録された「偽物のアドレス」を「本物のアドレス」と間違えてコピー&ペースト。 資金を自ら攻撃者に送ってしまいます・・・。
ゾッとしますよね・・・。
酷似したアドレスはどうやって生成しているのか?
攻撃者は、ターゲットユーザーが日常的に送金を行っているアドレスを見つけ出し「Profanity」というオープンソースのツールを使って酷似したアドレス(最初の4~5文字と最後の4~5文字が同じアドレス)を生成しています。
↑こんな感じですかね?
真ん中あたりの1文字だけ違ってたら見落としそうですよね・・・。
私もアドレスの最初と最後しか照合してなかったので、めちゃくちゃ焦りました。
狙われるブロックチェーンに偏りはある?
私が調べたところ、Polygon・Tron・Binance Smart Chainなどの取引手数料が安いブロックチェーンは、アドレスポイズニングの攻撃者に使われやすいそうです。
一度攻撃されたら、そのアカウントはもう二度と使えない?
攻撃者から「偽物のアドレス」が送られてきたとしても、そのアカウント自体に影響はなく「偽物のアドレス」をコピー&ペーストして使用しなければ、通常通り使うことができるそうです。
仮想通貨アカウントを危険に晒す唯一の方法は、秘密鍵(シードフレーズ)を開示してしまうことなので、送受信アドレスのチェックさえ怠らなければ問題ないようです。
攻撃者から受け取った少量のコインは安全?
攻撃者が最初に送ってきた少量のコイン(トークン)は、普通の仮想通貨なので、保管しても送信しても問題ないようです。
アドレスポイズニング(ゼロトランスファー)は個人攻撃?
アドレスポイズニング(ゼロトランスファー)は個人攻撃ではありません。
ブロックチェーンネットワークは公開されているので、攻撃者は多くのアドレスをサンプリングした上でターゲットユーザーを選んできます。なので、これは「運」ですね。
私も狙われる可能性がありますし、これを読んでいる読者の人も狙われる可能性があるということです。
アドレスポイズニング(ゼロトランスファー)攻撃から仮想通貨を守る方法
アドレスポイズニング(ゼロトランスファー)攻撃から仮想通貨を守る方法はとても簡単です!
ブロックチェーンネットワークが公開されている以上、アドレスポイズニング(ゼロトランスファー)攻撃を止めることはできませんが、送受信時のアドレス確認を行うことで、被害は未然に防ぐことができます。
具体的には、アドレスの最初と最後だけではなく、全文字一致を目視で確認することです。
この作業を行えば、アドレスポイズニングは怖くありません!
仮想通貨の送受信に慣れてくるとアドレスの最初と最後しか照合しなくなると思いますが、アドレスポイズニング(ゼロトランスファー)の被害に遭ってからでは遅いので、私もこれからは全文字指差し確認で頑張ろうと思います!
ふぅー、メガネの度数を合わせに行かなきゃ・・・。