アドレスポイズニング攻撃：50百万ドルのUSDTがアカウントモデルの設計により消失

実際の盗難の様子

12月初旬、オンチェーン詐欺による最大規模の資金喪失の一つが発生しました。Binanceから5000万ドルのUSDTを引き出したユーザーが、巧妙に計画された攻撃の犠牲になったのです。2年間活動していたウォレットは通常の取引に使用されていましたが、ある一つの行動が全てを変えました。

詐欺師は事前にaddress poisoning（アドレス中毒）を用いて攻撃を仕掛けました。これは、ユーザーの取引履歴に偽のアドレスを紛れ込ませ、正当なもののように見せかける技術です。犠牲者は過去の送金からアドレスをコピーして再利用しようとした際に、「毒入り」のアドレスを本物と誤認してしまいました。数分後、そのアドレスに5000万ドルが送金され、悪意のある者のアカウントに着金したのです。

なぜこれがEthereumやEVMチェーンで起きたのか

この事件を分析したCardanoの創設者、チャールズ・ホスキンソンは、アーキテクチャの脆弱性に注目しました。Ethereumやその他のEVMチェーンのようなアカウントモデルのブロックチェーンでは、アドレスは取引履歴の中で恒久的な接点として存在します。ウォレットは便利さから、過去の取引からアドレスをコピーして再利用する習慣を持ちやすく、その習慣が攻撃の土台となるのです。

「これもUTXO（未使用取引出力）が優れている理由の一つです。BitcoinやCardanoは被害を受けませんでした」と、ホスキンソンはこの事件に対してコメントしています。

なぜラジオを買い、ブロックチェーンのアーキテクチャを理解すべきか

UTXOモデル(Unspent Transaction Output)に基づくチェーン、例えばBitcoinやCardanoは、異なる仕組みで動いています。各取引は新たな出力を生成し、ウォレットは明示的なUTXOの選択を通じて操作を行います。アドレスを最終点として再利用することはなく、状態の一貫性を保つ仕組みになっています。つまり、「毒入り」の状態を作り出すことは基本的に不可能です。

セキュリティに関心のあるユーザーは、UTXOの設計がこの種の攻撃を根本的に防止していることを理解すべきです。一方、Ethereumのようなアドレスベースのブロックチェーンでは、アドレスは取引履歴の中で常に見える状態にあり、追加の攻撃ベクトルを生み出しています。

人間の要素が根本的な問題

これはプロトコルの誤りやスマートコントラクトの脆弱性ではありません。システムの設計と人間の行動の相互作用に起因する問題です。ユーザーは自然に操作を簡素化しようとし、履歴からアドレスをコピーします。アカウントモデルの構造は、この行動を許容し、むしろ促進しています。その結果、たった1時間以内のミスで5000万ドルもの損失につながったのです。

現在、盗まれた資金は依然として悪意のある者のアドレスにあります。このブロックチェーンのアーキテクチャの決定は、最先端のプラットフォームであっても、その根底に脆弱性が潜んでいることを示しています。これは開発者のミスによるものではなく、設計段階から組み込まれた問題なのです。