Cyversはリアルタイムのブロックチェーン監視システムを使ってこの攻撃を発見し、被害者がゼロバリュートランスファーによって標的にされたことを突き止めました。
ゼロバリュートランスファーとは、攻撃者が被害者のウォレットに偽のトランザクションを送信し、似たアドレスでトランザクション履歴を汚染する手法です。ベクトルが仕込まれた後、毒されたアドレスは被害者の履歴に残り、ウォレットアドレスの各文字を手動で入力・確認せずに、素早くコピーペーストする瞬間を待ちます。
通常、ブロックチェーンのトランスファーは不可逆的であるため、被害者はそのトランスファーに関与したすべての資産を失います。
60万ドル損失、2026年のアドレスポイズニング攻撃の急増に加わる
この60万ドルの事件は多くのうちの一つに過ぎません。アドレスポイズニング攻撃は頻度・規模ともに急速に増大しており、今年だけでも業界が直面している脅威を警告する複数の注目すべき損失が発生しています。
2025年12月には、ある暗号資産トレーダーが履歴から偽アドレスをコピーしたことで5,000万ドル相当のUSDTを失い、これは記録上2番目に大きいアドレスポイズニングによる損失となりました。被害者はBinanceから資金を引き出し、正しいアドレスに50ドルのテストトランザクションを送った後、数分後に毒されたアドレスをコピーし、5,000万ドルの全額送金を行ったようです。
攻撃者は盗まれたUSDTをDAIトークンに交換し、さらに約16,690ETHに30分以内で変換、その大部分をTornado Cash経由で資金洗浄しました。被害者は資金の98%の回収に100万ドルの報奨金を提示し、条件を満たさなければ刑事告訴すると警告しました。
2026年1月も変わりませんでした。1月16日、被害者は514,000ドル相当のUSDTを、意図した受取人アドレス“D3E6F”とほぼ同一の“f3e6F”で終わる毒されたアドレスへ5,000ドルのテストトランザクションを送信した後、数分後に全額送金し失いました。
2週間後、さらに別の被害者が4,556ETHを汚染されたトランザクション履歴からコピーした攻撃者のアドレスに送金し、1,225万ドルを失いました。この事件をScamSnifferが指摘し、2つのアドレスは表示されている文字がほぼ同じで、多くのウォレットが省略する中間部分の違いだけだったと観察されました。
今月の被害者も、わずか3カ月未満で数百万ドルの損失パターンに加わりました。これは、より巧妙な攻撃と、短縮アドレス表示およびコピーペーストの習慣に依存する利用者層によるものが主な要因です。
Ethereum上で1日あたり100万件以上のポイズニング試行
Cyversのスペシャリストによると、Ethereumネットワークだけで毎日100万件以上のアドレスポイズニング試行が行われているとのことです。
別の調査では、Ethereum上で少なくとも7つの異なる攻撃グループがアドレスポイズニングキャンペーンを活発に行っており、一部のグループはEthereumとBinance Smart Chainの両方で偽アドレスを使い回していることが判明しました。
この調査では、攻撃者が頻繁にトランザクション履歴を持つ高額ウォレットを標的にする傾向があり、通常USDTやUSDCの残高を統計的に分析して最も利益の出そうな潜在的被害者を特定した上で偽トランザクションを投入していることが確認されました。
「より多くのユーザーや機関が自動化ツールを用いて暗号資産取引を行っていますが、その中には毒されたアドレスを検出する内蔵検証機能がないものもあります」とCyversのCEOは述べています。また「攻撃者の高度化と、取引前のセキュリティ対策の欠如」が増加の主因だと付け加えました。
業界関係者も声を上げ始めており、中には2025年12月の5,000万ドル損失を受けて、ウォレット開発者に対し毒されたアドレスをデフォルトでブロックするよう公に求める声もあります。
Cryptopolitanが2025年12月24日に報じたように、CZは暗号資産利用者を詐欺トランザクションから守るための設計図を提案しました。
「我々の業界はこの種のポイズン攻撃を完全に根絶し、ユーザーを守るべきです」とCZはBinanceのソーシャルプラットフォームで書いています。「すべてのウォレットは、受取アドレスが『ポイズンアドレス』かどうかをチェックし、ユーザーをブロックするべきです。」
他のウォレットプロバイダーも現在、署名前に取引をシミュレーションし、送金先をユーザーに明示してから確認を求める、実行前リスク評価の導入を検討しています。
また、一部の研究者は、トランザクション履歴に頼らずに済むよう、頻繁に使用するアドレスをウォレット設定でホワイトリスト化することを提唱しています。
