アドレスポイズニング攻撃とは?
ブロックチェーン領域では、アドレスは本質的に公開された文字列であり、誰でもこの情報を観察し、攻撃に利用することができます。
最近発生したSquadsユーザーを狙った事件は、アドレスポイズニングの典型例です。攻撃者は、あなたのアカウントに酷似した偽アドレスを作成し、視覚的な錯覚を利用して誤操作を誘発します。この攻撃はシステム自体を直接侵害するものではなく、ユーザーの判断ミスを悪用するものです。
攻撃はどのように発生するのか?
(出典:multisig)
この事象は主に2つの手法で展開されました。
- マルチ署名アカウントの偽造
攻撃者は新たにマルチ署名ウォレットを作成し、被害者の公開鍵をメンバーリストに追加します。これにより、これらのアカウントがユーザーインターフェース上に表示されます。システムはあなたのアドレスに紐づくアカウントを表示するため、偽アカウントがリストに紛れ込みます。
- アドレス形式の模倣
攻撃者は、正規アドレスと先頭や末尾がよく似たアドレスを意図的に生成します。例えば:
-
本物のアドレス:ABCD...XYZ
-
偽アドレス:ABCF...XYA
先頭や末尾の数文字だけを確認した場合、簡単に見誤る可能性があります。
攻撃の目的は何か?
この攻撃の主な目的は、システムのハッキングではなく、ユーザーに誤操作をさせることです。
一般的な狙いは以下の通りです:
-
偽アドレスへの資金の誤送金
-
自分で発行していないトランザクションへの署名
-
偽アカウントをチームアカウントと誤認すること
これらのミスはユーザーの操作に起因しており、システムの脆弱性によるものではありません。
資金の安全性に影響はあるか?
現時点で重要なのは、資金の損失は確認されておらず、プロトコル自体も侵害されていないことです。
攻撃者は以下のことができません:
-
あなたの資産へのアクセス
-
マルチ署名設定の変更
-
トランザクションの強制実行
ユーザーが操作ミスを避ければ、資産は安全に保たれます。
公式の今後のセキュリティアップデート
(出典:multisig)
リスク軽減のため、SquadsチームはUIの強化を計画しています。
- 短期(即時対応)
-
セキュリティ警告バナーの表示
-
これまで取引履歴のないマルチ署名アカウントのマーキング
- 中期(数日以内)
-
新規アカウントはデフォルトで確認待ちステータスに設定
-
ユーザーが手動でアカウントをリストに追加(ホワイトリスト機能)
これらの機能の主な目的は、アドレスの見誤りを防ぐことです。
ユーザーはどのように自衛すべきか?
攻撃リスクを軽減するには、適切な運用習慣を身につけることが重要です。見知らぬマルチ署名アカウントには常に警戒し、自分で作成したアカウントやチームで明確に確認されたアカウントのみとやり取りしてください。不審なアドレスには関与せず、先頭や末尾の数文字のみで真偽を判断しないよう注意しましょう。アドレス全体を比較するか、内部記録やホワイトリストで確認することが最善策です。
また、マルチ署名環境は複数の共同作業者が関与するため、不明確なトランザクションは実行前に必ずチームで確認し、コミュニケーションミスによる資産損失を防いでください。よく使う信頼できるアカウントはリストの上部にピン留めしておくことも推奨されます。これにより効率が向上し、誤操作のリスクも低減します。
まとめ
アドレスポイズニング攻撃は、技術的な欠陥ではなく、人間の特性を突いたソーシャルエンジニアリングです。Squadsの事例は、ブロックチェーンのセキュリティがプロトコル設計だけでなく、ユーザーの行動にも依存していることを示しています。オンチェーンの世界では、アドレスの確認とトランザクション署名の慎重な実施が、資産を守る最も重要な防御策です。
共有
TradFi 上昇アラート:HOOD(Robinhood)が上昇で2%変動しました
BTC 15分上昇0.46%:現物取引量の拡大とデリバティブのロング増加という2つのドライバー
テザーは主要なCEXから951 BTC相当の$70.47Mを引き出し、ビットコイン準備金として$7.2Bを保有しています
上位100の暗号資産トークンがまちまちの値動き:DEXEが21.85%急騰、RAVEが23.75%急落
Everstakeで50,000 ETHを賭ける「Whale Stakes 50,000 ETH」:総額$116.97M超の価値(ETH)
関連記事
ONDOトークン経済モデル:プラットフォームの成長とユーザーエンゲージメントをどのように推進するのか
Plasma(XPL)トークノミクス分析:供給、分配、価値捕捉
ステーブルコインとは何ですか?
ブロックチェーンについて知っておくべきことすべて
