たった1日で二重の壊滅的な損失が発生したことで、経験豊富な暗号通貨トレーダーでさえウォレットアドレスを検証する方法に重大な弱点があることが明らかになりました。

2025年5月26日、ある暗号資産投資家が、3時間以内に二度も巧妙なフィッシング詐欺に遭い、260万ドルもの莫大な損失を被りました。この詐欺は、ゼロバリューの送金によってイーサリアムの取引履歴を操作したものでした。この壊滅的な二重被害は、経験豊富なトレーダーでさえウォレットアドレスを検証する方法に重大な盲点があることを露呈させるのでしょうか？

この攻撃では、まず84万3000ドルとさらに175万ドルが流出したが、オンチェーン取引において熟練したトレーダーでさえウォレットアドレスを検証する方法に関して深刻な懸念が生じています。

仕組み：ゼロ価値転送とオンチェーンフィッシング

暗号コンプライアンス企業Cyversの報告によると、詐欺師たちは、秘密鍵の署名やユーザー認証を必要とせずに、被害者のウォレットから偽装アドレスへのトランザクションを作成するために、EthereumのtransferFrom関数を使用したといいます。

取引には実際の価値が含まれていなかったため、一般的なセキュリティアラートがトリガーされることなく、自動的にブロックチェーンに追加されました。

この攻撃は、詐欺師のウォレットアドレスを被害者の取引履歴に記録することで機能します。送信取引として記録されたアドレスを見たユーザーは、それを以前やり取りしたアドレスや既知のアドレスと勘違いし、信頼してしまう可能性が高くなります。

その後の取引では、偽装したアドレスをコピーして貼り付け、知らないうちに有形資産を攻撃者に直接送信する可能性があります。

ゼロ価値転送は、古いアドレスポイズニング詐欺の高度な進化型であると考えられています。

従来のアドレスポイズニングでは、詐欺師は被害者の正当な連絡先に酷似したアドレス（多くの場合、先頭と末尾の文字が同じ）から少量の暗号通貨を送信します。

パターン認識や部分的な住所検証に頼っているユーザーは、この罠に陥る可能性が高くなります。

ゼロ価値転送は、偽の取引をユーザーの表示可能な履歴に追加することでこれをさらに一歩進め、偽の正当性を強化します。

ブロックチェーンセキュリティ企業のEllipticは2023年に、2022年11月以降、約150人の詐欺師が176,000件を超えるイーサリアムおよびBNBチェーン取引を開始したと報告しました。

これらは価値ゼロのトランザクションですが、実行するにはかなりのガス料金がかかります。

詐欺師たちは手数料に71万ドル以上を費やしたが、不正に得た収益は150万ドル以上で、純利益は80万ドル弱、攻撃者1人あたり平均約5,500ドルとなりました。

注目すべき前例として、2024年5月に高度なアドレスポイズニング詐欺の被害者が、ブロックチェーンセキュリティ企業Match Systemsと取引所Cryptexの迅速な介入のおかげで、盗まれた7,100万ドル相当のWBTCのほぼ全額を取り戻しました。

フィッシング詐欺の広範な影響と防御策

ゼロ価値送金詐欺の増加により、ユーザーの行動とウォレット インターフェースが取引データを表示する方法における深刻な脆弱性が明らかになりました。

2025年1月のレポートによると、2022年7月から2024年6月の間にBNBチェーンとイーサリアムで2億7000万件を超えるアドレスポイズニングの試みが発生したことが明らかになりました。このうち約6000件が成功し、8300万ドルを超える損失が発生しました。

これを受けて、暗号資産エコシステムは適応し始めました。2023年には、Etherscanが、ユーザーを誤解を招く取引記録から守るため、ゼロ価値トークンの送金をデフォルトで非表示にする新機能を発表しました。

ユーザーは引き続きそれらを表示することを選択できますが、デフォルト設定は混乱を減らし、フィッシングの試みが一般的なウォレット所有者に届かないようにすることを目的としています。

Trezorのような暗号通貨ウォレットプロバイダーは、アドレスポイズニングについて警告を発しており、このようなフィッシング詐欺は狡猾ではあるものの、秘密鍵やウォレット内部のセキュリティが侵害されることはないと強調しています。

代わりに、人為的エラーや行動の悪用に頼り、アドレスを外見で認識したり、二重チェックなしで取引ログからコピー＆ペーストしたりするユーザーの視覚習慣を狙っています。