「アドレスポイズニング」について注意喚起
暗号資産(仮想通貨)の主要ウォレット「Metamask(メタマスク)」は12日、「アドレスポイズニング」という新たな詐欺が発生しているとしてユーザーに注意を促した。
A new scam called 'Address Poisoning' is on the rise. Here's how it works: after you send a normal transaction, the scammer sends a $0 token txn, 'poisoning' the txn history. (1/3)
— MetaMask Support (@MetaMaskSupport) January 11, 2023
手口はこうだ。
まず犯罪者は「アドレスポイズニング(アドレス汚染)」でターゲットのユーザーの取引を追跡し、その取引履歴に記録されている受取人アドレスと類似した文字列で、詐欺用のウォレットアドレスを作成する。
次に犯罪者は、その詐欺用アドレスからターゲットとなる者のウォレットに、ごくわずかな量のトークンを送金。すると、この取引もターゲットとなるユーザーの取引履歴に記録されることになる。
ウォレットの取引履歴に記録された詐欺用の“偽のアドレス”を“本物のアドレス”と誤認したユーザーが、“偽のアドレス”の方をコピー&ペーストとして送金しまうと不正な搾取が成立する。
関連:「MetaMask(メタマスク)」とは|月間2000万人超が利用の仮想通貨ウォレット
メタマスクとは
イーサリアム(ETH)系の仮想通貨ウォレット。モバイルアプリやウェブブラウザの拡張機能にてサービスを提供しており、仮想通貨の管理や送受金が可能。DeFi(分散型金融)やゲームなどのdApps(分散型アプリケーション)で標準的に利用されているウォレットでもある。
▶️仮想通貨用語集
コピー&ペースト機能を狙う
メタマスクでは利便性を高めるため、取引履歴のウォレットアドレスをワンクリックでコピー&ペーストできるようになっており、多くのユーザーが利用していることにある。
コピー&ペースト機能によりタイプミスを防いで送金できるため、多くのWeb3アプリがこうした機能を用意しているところであるが、今回の「アドレスポイズニング」はこの仕様を悪用した形だ。
犯罪者が生成する”偽のウォレットアドレス”は、最初と最後の「数文字」だけ本物のアドレスと酷似させていることが多い。
イーサリアムなど暗号資産(仮想通貨)のウォレットアドレスは非常に長いため、ユーザーはコピペする際に“最初と最後の数文字だけ”を確認して正しいかどうか判断するケースが少なくないことを逆手に取った手口といえる。
被害に遭わないための方法
メタマスクの注意喚起アナウンスは、こうした「アドレスポイズニング」の被害に遭わないためのアドバイスも提供している。
まず、取引履歴からアドレスをコピーすることは避け、コピペする場合には最初と最後だけではなくアドレス全体に差異がないか確認することを推奨した。目視だと難しいので、コピペしたウォレットアドレスを『Command+F』などのページ内検索で“完全一致”するかどうか確かめる方法もありそうだ。
その際、メタマスクなどの仮想通貨ウォレット内の取引履歴だけではなく、取引エクスプローラーに表示される履歴についても確認する方が安全としている。
また、送金先アドレスと、ユーザー自身のアドレス両方を確認すべきとも続けた。
その他に、よく使うアドレスをメタマスクの「アドレス帳」に登録すること、最初に少額だけテスト送金を行うこと、ハードウェアウォレットを使用することなどを挙げている。ハードウェアウォレットについては、完全に詐欺を防げないものの、送信先のアドレスを確認することを習慣化はできると説明した。
