用語解説 · wallet-and-security

Address Poisoning

アドレスポイズニング

wallet-and-security 中級

30秒バージョン · 忙しい方へ

アドレスポイズニングは詐欺の手法で、攻撃者があなたがよく使う送金先アドレスに非常によく似た（中間の数文字だけ異なる）偽アドレスから、あなたのウォレットへゼロ金額の「ダスト取引」を送信します——この偽取引がオンチェーンの取引履歴に記録されます。次に送金するとき、履歴からアドレスをコピーする習慣があれば、偽のアドレスをコピーして攻撃者に資金を送ってしまう可能性があります。この攻撃の核心は、アドレスをコピーするとき最初と最後の数文字だけを確認し中間を無視する習慣を悪用します。

詳しく読む +

01 · これは何？

アドレスポイズニングとは何か、攻撃のロジックはどう機能するのか。核心はシンプルだが効果的な心理的罠です。攻撃者はまず、あなたがあるアドレスに送金した記録を見つけます（公開ブロックチェーンで簡単に調べられる）。次にそのアドレスに「ほぼ同じに見える」偽アドレスを生成します——通常、最初の数文字と最後の数文字は完全に同じで、中間の一部の文字だけ置き換えられています。攻撃者はこの偽アドレスからあなたのウォレットへゼロ金額のダスト取引を送り、取引がオンチェーン履歴に記録されます。罠の設置完了。次に送金するとき、取引履歴から前のアドレスをコピーする習慣があり、42文字全部を注意深く読まなければ、偽のものをコピーして資金を攻撃者に送る可能性が高いです。攻撃者はあなたの秘密鍵を必要とせず、不注意だけで十分です。

02 · なぜ存在する？

なぜこの攻撃が成功するのか——どんな習慣を悪用するのか。アドレスポイズニングの有効性は2つの構造的現実に基づいています。第一に人間の視覚的習慣：イーサリアムのアドレスは42文字あり、人間の脳はすべてを注意深く読まず、通常最初と最後の数文字だけを確認して「大体合っている」と判断します。攻撃者はこれを精確に利用し、誰も細かく見ない中間の位置だけを変えます。第二にウォレットインターフェースの習慣：多くのユーザーは毎回アドレス帳、ホワイトリスト、または元のソースからアドレスを取得するのでなく、取引履歴から直接コピーする習慣があります。この習慣がある限り攻撃の条件が整います。ブロックチェーン送金の不可逆性と、平均的なユーザーが42の16進数文字を一文字ずつ確認する可能性が低いことも合わさり、攻撃者の成功率は実際にかなり高いです。これはソーシャルエンジニアリングで、技術的なハッキングではありません。

03 · 意思決定にどう影響する？

アドレスポイズニング攻撃をどう識別し防ぐか。いくつかの効果的な防御方法。第一に最も重要：取引履歴からアドレスをコピーしないこと——これが攻撃の根本的なトリガーです。代わりに、よく使う送金先アドレスをウォレットのアドレス帳やホワイトリスト機能に保存し、毎回そこから呼び出します。履歴から直接取らないこと。第二に、どこかからアドレスをコピーする必要があれば、最初と最後だけでなく42文字全体を展開して比較して確認します。第三に、大口送金前に少額のテスト送金を送る習慣を身につけます。アドレスが間違っていても損失はその少額だけです。第四に、ウォレットで受け取った不明なダスト取引に注意します。見慣れないゼロ金額（または極小金額）の着金を見たら、攻撃者が罠を仕掛けている可能性が高いです。好奇心からそのアドレスをクリックせず、その取引からアドレスをコピーしないこと。

04 · どうすればいい？

アドレスポイズニングを理解して、日々のオンチェーン操作にどんな実際的な変化をすべきか。最も直接的な習慣の変化：今日から自分の「よく使うアドレス帳」を作りましょう——よく送金するアドレス（取引所の出金アドレス、友人のアドレス、よく使うコントラクトアドレスなど）を一度に保存し、以降はすべての送金でアドレス帳から取り、履歴から取らないこと。これは数分で完了しますが、大多数のアドレスポイズニング攻撃を防げます。もう一つの重要な認識：ブロックチェーンには誤送金を回収してくれるカスタマーサービスはありません。一度確認されオンチェーンになれば、どんなメカニズムでも取り消せません——これが暗号資産の自己管理モデルの本当のコストです。大口送金には追加で30秒アドレスを確認するのが、後悔するよりはるかに役立ちます。特に市場の熱狂と衝動的な素早い操作のときが、アドレスポイズニングの被害者に最もよく見られる状況です。

具体例 +

現実的なシナリオでアドレスポイズニングの危険を感じましょう。あなたはDeFiを頻繁に操作し、毎週自己管理ウォレットから取引所にETHを送金します。ある日、ウォレットに見慣れないゼロ金額の着金が現れます——送信者は「0x71C7...76F」で、よく使う取引所の出金アドレス「0x71C7...86F」とほぼ同じ、最後から4番目の文字だけ異なります。金額がゼロなので気にせず、細かく見ませんでした。

3日後、5 ETHを取引所に送ろうとします。習慣的に取引履歴を開き「0x71C7...76F」というアドレスを見て、最初と最後の数文字を見て「合ってる」とコピー、貼り付け、確認して送信します。

5分後、取引所を開いて入金を確認。ありません。ブロックエクスプローラーでTXハッシュを確認すると、資金は「0x71C7...76F」に届いていました——あなたの取引所でなく攻撃者のアドレスです。オンチェーンの確認は既に20ブロックを超え、回収する方法はありません。

本当に失ったのは5 ETHだけではありません。その前の「習慣的な操作」だと思っていたもの一つ一つが、トリガーを待つ潜在的な危機でした。アドレスポイズニングはあなたの安全習慣を弱点に変えます——防御のコストは低く、無視するコストはあなたの操作履歴全体のすべてのよく使うアドレスになり得ます。

図解

4d8976FFirst 8 chars: identicalLast 5 chars: identicalDifference hidden in the middleHow it works:Attacker sends 0 ETH dust from fake address → appears in your history → you copy from history next time→ paste without checking all 42 characters → funds sent to attacker.Never copy an address from your transaction history without verifying all 42 characters.Crypto Bible · crypto-bible.com

スクリーンショット歓迎。転載時は出典を明記してください。

よくある誤解 +

✕ 誤解 1

× 誤解1：大口ウォレットしか狙われない。私の資金は少ないので攻撃する価値がない。アドレスポイズニングは大規模で自動化された攻撃です。攻撃者は手動で個人を狙うのでなく、オンチェーンでアクティブな送金行動を持つすべてのアドレスをスキャンするスクリプトを実行し、酷似したアドレスをバッチ生成してダストをバッチ送信します。アカウントの大きさがターゲットになるかに関係なく、アクティブなオンチェーンの習慣がスキャンされる原因です。

✕ 誤解 2

× 誤解2：評判の良い大きなウォレットを使っており、セキュリティ機能があるので安全だ。違います。アドレスポイズニングの核心はオンチェーン履歴を汚染することで、どのウォレットソフトを使うかとは無関係です——MetaMask、Ledger、その他いずれも、オンチェーンの取引履歴は公開で誰でも偽アドレスを植え込めます。ウォレットのセキュリティ機能は、誰かがあなたの履歴にダスト取引を記録するのを止められません。できることは送信前にアドレスを再確認させることだけですが、それでも自分で注意深く確認することが必要です。

The Missing Link +

直接的な影響

攻撃ベクトルとしてのアドレスポイズニングは、より深いトレードオフを明らかにします。ブロックチェーンの透明性は同時にその利点であり攻撃面でもあります。オンチェーンデータが完全に公開されることで、誰でも検証、追跡、監査できます——分散化の核心的な約束です。しかしその透明性は攻撃者がすべてのアクティブなアドレスをスキャンし、送金パターンを分析し、特定のターゲットに対して酷似したアドレスを正確に作れるようにもします。公開可検証性を維持しながらプライバシーを保護することは、パブリックブロックチェーンの設計がまだ完璧な答えを持たない矛盾です。現在の実際的な対応は、ユーザー自身がより厳格な操作の規律を構築することだけです——根本的に、アドレスポイズニングは、取引を取り戻せないシステムでは不注意のコストが従来の金融よりはるかに高く、はるかに速いことを思い出させます。

次の用語 →

Cold Wallet

質問する