王純さえも例外ではなかった:5000万ドルの「授業料」とアドレス・ポイズニング詐欺がなぜ今も成功し続けるのか

YaelYael
/2025年12月22日

キーストーン

• アドレス・ポイズニング詐欺は人間の習慣を利用した手口である。

• 被害者は正しいアドレスをコピーしたつもりが、偽のアドレスに送金してしまった。

• 大額送金時にはアドレス全体を確認することが重要である。

• 定期的な送金先はホワイトリスト化し、確認手段を強化するべきである。

• ハードウェアウォレットの利用が推奨される。

2025年12月20日、5000万ドル相当のUSDT損失が発生したことで、暗号資産における最もシンプルながら破壊力のある詐欺、「アドレス・ポイズニング(アドレス偽装)」が再び注目を集めています。ブロックチェーン上の解析者によれば、被害者は直近の取引履歴から送金先アドレスをコピーしたのですが、それは実際のアドレスではなく、そっくりに偽装された「なりすまし」ウォレット。結果として、49,999,950 USDTが攻撃者の手に渡り、わずか数分でその送金ミスは悪用されました。Etherscanの公開情報では、受け取り側のアドレスはその後フィッシング詐欺アカウントとしてフラグ付けされています。さらに分析では、被害者はBinanceから資金を引き出した直後だったことも確認されています。この事件について、複数の大手メディアによる報道でも資金の流れやアドレスの類似点による罠が裏付けられています。(etherscan.io)

実際に5000万ドルでは何が起きたのか?

  • 被害者は最初に、末尾が…F8b5で終わる正しいアドレスに、50 USDTの少額テスト送金を行いました。
  • 詐欺者はすぐに、前後の数文字が一致する「バニティアドレス(見た目の似たアドレス)」を生成し、被害者の取引履歴に小さな額でアクセスして「ポイズニング」しました。
  • 数分後、被害者はその履歴から偽のアドレスをコピーし、49,999,950 USDTを一気に送信してしまいました。

これらの手順や使われた類似アドレスの対も、複数の事件概略で一致しています。(blockchain.news)

その後、攻撃者は凍結リスクを回避するため、資金を安定通貨から別のトークンに交換し、トレースしづらいルートへ移行。複数の分析によれば、USDTはまずDAIへ、その後ETHに交換され、最終的にTornado Cashを通じて洗浄されたとされています。このパターンは、資金凍結リスクを最小化し、追跡や回収の手間を増やす目的でよく使われます。(phemex.com)

オンチェーン上の足跡も直接確認できます:被害者のウォレットは 0xcB80784…0819、攻撃者のウォレットは 0xBaFF2F…08f8b5 です。(etherscan.io)

なぜアドレス・ポイズニング詐欺は今でも通用するのか?

アドレス・ポイズニングは暗号技術そのものを破るのではなく、人間の習慣やUIの簡略化を狙ったものです:

  • 多くの仮想通貨ウォレットはアドレスを頭と末尾数文字で省略表示するため、利用者が全体を確認せずにコピー・貼り付けを行いがちです。詐欺者はこの習性を利用し、前後一致するアドレスを生成して履歴に小銭を送金し、罠を仕掛けます。次にユーザーが履歴からコピーすると、偽のアドレスを使ってしまう可能性が高いのです。詳しくはMetaMaskの公式解説をご覧ください。
  • Ethereumの文字列チェックサム(EIP-55)も、タイプミス検出こそ得意ですが、完全に正当な異なるアドレス間の見間違いを防ぐものではありません。チェックサムの動作を理解し、誤信頼を避けることが重要です。(EIP‑55の詳細はこちら)

「誰でも被害に遭う」──Wang Chunの警告事例

F2Poolの共同創業者、王純(Wang Chun)氏は、2024年に自身の秘密鍵漏洩を疑い、その仮説を検証するために500 BTCを疑わしいアドレスへ送付。結果として、そのうち490 BTCが即座に引き出され、残り10 BTCが残された状態になりました。王氏の告白は、技術的なバグだけでなく、運用上の判断ミスが莫大な損失を招く現実を浮き彫りにします。この件については複数の仮想通貨メディアが彼の投稿と共有アドレスに基づいて報道しています。(theblockbeats.info)

「USDTを凍結すれば?」という疑問に対して

USDTは発行元のTether社がトークン自体を凍結可能ですが、それは即時に実施されるわけではなく、攻撃者もその時間との競争に出ます。2025年の研究では、主要ネットワーク上でのブラックリスト登録における遅れや手続きの隙間が指摘されています。だからこそ、多くの詐欺者はDAIやETHのような凍結不可能な資産へと即座に変換し、ミキサーなどを経由して洗浄するのです。(cointelegraph.com)

2025年の背景:個人ウォレットへのリスクが拡大

Chainalysisが発表した2025年年末レポートによると、暗号資産の盗難被害総額は340億ドルを突破。その中でDeFiの脆弱性悪用は抑えられた一方で、個人ウォレットへの侵害やヒューマンエラーによる損失が急増しています。数件の巨大事件がその多くを占めますが、アドレス・ポイズニングのような小さなミスが積み重なることで、全体として大きな損失に至っていることが明らかとなっています。(chainalysis.com)

実践的なアドレス・ポイズニング対策チェックリスト

大きな金額を送金する際には、次の多層防御を徹底してください:

  1. アドレス全体を確認すること。冒頭や末尾の文字だけで判断せず、全体を目視またはハードウェアで検証しましょう。MetaMaskも「履歴からのコピーはNG」と明言しています。公式ガイド
  2. アドレス帳やホワイトリストの活用。定期的な送金先は名前付きの連絡先として事前登録し、可能ならその登録先へしか出金できない設定に。
  3. ハードウェアウォレット画面で確認。送金先がデバイスに表示され、それを手動で承認できることで、マルウェアや履歴改ざんによるなりすまし防止になります。
  4. 別経路での確認。大口送金時には、相手に自分のアドレスから短いメッセージに署名してもらうか、事前に決めた安全な手段(PGP、Signalなど)で確認を。
  5. 取引シミュレーションとリスク検出ツールを活用。署名前にスワップ結果や送金先の信頼性を確認し、不審なアプローバルや危険なアドレスを特定します。
  6. ENSや他の名前解決システムを併用するのも手。ただし、サイン時にはその名前が正しいアドレスに解決されているか確認を怠らないように。
  7. 企業チームではSOP(標準作業手順)を徹底。出金には複数承認を要し、送金先はホワイトリスト化、ハードウェア画面のスクリーンショットを承認記録に添付するなど体制作りが重要。

OneKeyユーザー向けの推奨対策

OneKeyをお使いの方は、以下のワークフローを活用しましょう:

  • 送金先はOneKeyの画面上で表示・確認してからサインする。これにより、アプリや履歴の改ざんがラストミニットで差し替えるリスクを排除できます。
  • 定期的な送金先はアプリ内の連絡先として登録。高額時にはマルチ承認ポリシーと組み合わせて管理すると安心です。
  • ファームウェアおよびOneKeyアプリを常に最新に保つこと。OneKeyのオープンソース設計や検証機能により、使用するソフトウェアの正当性を確認できます。

完璧な防衛策は存在しませんが、これらを実践することでアドレス・ポイズニング詐欺の成功率を極めて現実的に下げることができます。

最後に

アドレス・ポイズニングのような詐欺は、暗号技術の脆弱性ではなく、「運用ミス」というもっと身近なリスクが引き金です。今回の5000万ドル事件は、たった一度の「コピー&ペースト」が年単位の資産構築を一瞬で水の泡にしたことを教えてくれます。大きな額を扱う場合は疑うことをやめない心構えが重要です。銀行の振込情報と同レベルでアドレスを管理し、送る前に必ず別経路とデバイス画面で確認を。

参考情報:当該事件の解説やオンチェーンデータ、安全なウォレット運用ガイド、2025年の業界トレンドなど。詳しくは以下をご覧ください:

まだハードウェアウォレットを使っていない場合や、明確な手順が定まっていない場合は、今すぐにでも導入をおすすめします。OneKeyを利用している方は、常に「デバイスで確認」、信頼できる連絡先の保存、大口送金時のマルチチェックの徹底を。この基本が、アドレス・ポイズニングの手口を根本から無効化してくれます。

OneKeyで暗号化の旅を守る

View details for OneKeyのご購入OneKeyのご購入

OneKeyのご購入

世界最先端のハードウェアウォレット。

View details for アプリをダウンロードアプリをダウンロード

アプリをダウンロード

詐欺アラート。すべてのコインをサポート。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

暗号化の疑問を解消するために、一つの電話で。