アドレスポイズニング攻撃で5,000万ドルのUSDTが流出

コピー履歴を狙う詐欺で巨額の仮想通貨被害が発生

仮想通貨ユーザーがアドレスポイズニング攻撃の被害に遭い、約5,000万ドル（約78億円）相当のテザー（Tether/USDT）を失った。

取引履歴から送信先アドレスをコピーする行為を悪用した詐欺で、慎重な手順を踏んでいたにもかかわらず、単純な操作が致命的な結果につながった。

被害は2025年12月20日に発生した。被害者は大口送金に先立ち、一般的な安全確認として50USDTのテスト送金を実施していた。直前には、Binanceから約5,000万ドル相当のUSDTを自身のウォレットへ出金していた。

テスト送金の直後、攻撃者は0.005USDTのダスト取引を被害者に送信し、不正なアドレスを取引履歴に表示させた。この偽装アドレスは、正規アドレスと先頭3文字および末尾4文字が一致しており、視認上の違いは極めて分かりにくい状態だった。

被害者は全額送金の際、取引履歴に表示されたアドレスを送信先としてコピーし、49,999,950USDTを送金した。しかし、送信先は正規アドレスではなく、攻撃者が用意したウォレットだった。ブロックチェーン取引は不可逆であるため、送金は即座に確定し、資金は失われた。

拡大する被害と手口の危険性

SlowMist（スローミスト）のモニタリングによると、盗まれた資金は1時間以内にイーサリアムへ変換され、複数のウォレットへ分散された。

その後、一部はトルネードキャッシュ（Tornado Cash）を通じてマネーロンダリング（資金洗浄）された。被害者はオンチェーンメッセージを通じ、盗難資金の98%を48時間以内に返還するよう要求したほか、法的措置や国際的な法執行を示唆し、ホワイトハット報奨金として100万ドル（約1.5億円）を提示した。

アドレスポイズニングはウォレットを直接ハッキングする手法ではない。ユーザーが送信時に取引履歴を参照する行動や、アドレスの先頭と末尾のみを確認する習慣を突く詐欺である。攻撃者は高額送金が行われるウォレットを監視し、適切なタイミングで不正なアドレスを履歴に混入させる。

2025年には、アドレスポイズニング攻撃による被害総額が34億ドル（約5,306億円）に達した。158,000件以上のウォレットが侵害され、約80,000人に影響が及んだとされる。9月だけでも、複数のブロックチェーンで32,290件の疑わしい事例が確認されている。

今回の事件は、慎重な確認を行っていたユーザーであっても、送信先アドレスの扱いを誤れば巨額の損失につながる現実を示した。アドレスポイズニングは操作ミスを前提とする詐欺であり、仮想通貨取引における基本的なリスクとして、改めて注意が求められている。