ある暗号投資家が、ブロックチェーンベースの金融における成長と高度化した脅威を強調する、ほぼ同一のフィッシング攻撃で約260万ドル相当のステーブルコインを3時間以内に失いました:ゼロトランスファー詐欺。
この事件は、暗号セキュリティ企業Cyversによって5月26日に指摘され、Tether (USDT) の2つの大きな取引が含まれていました - 最初は843,000ドル、数時間後には1.75百万ドルの2回目の送金がありました。どちらの場合も、被害者はゼロバリュー転送として知られる騙すようなオンチェーン戦術に引っかかったようで、詐欺師がウォレットアドレス周辺のユーザー習慣をターゲットにますます展開しているフィッシング手法です。
この二重の損失は、現行のユーザー向けウォレットインターフェースの限界、暗号犯罪におけるインテリジェントなソーシャルエンジニアリングの台頭、およびWeb3全体での強力なセキュリティソリューションの緊急性を浮き彫りにしています。
ゼロバリュー転送は、ユーザーが取引履歴を解釈し、ウォレットアドレスを信頼する方法に欠陥を悪用します。この技術では、ERC-20トークン標準のtransferFrom機能を利用し、金額がゼロであればユーザーの同意なしに任意のパーティがトークン転送を開始できるようにします。
実際にトークンが移動しないため、これらのゼロバリューの送金にはターゲットウォレットからのデジタル署名は必要ありません。それでもオンチェーンに記録されるため、被害者がその偽装されたアドレスを以前に信頼されたものだと信じ込む誤りを引き起こすことがあります。
詐欺師は、偽装されたゼロバリューの送金を注入して被害者の取引履歴を「毒殺」し、本物の送金を行う際にウォレットの履歴や以前に対話したアドレスをコピーする際に、誤って攻撃者の偽装されたアドレスに送金してしまうことが起こります。
この手法は、アドレス中毒と呼ばれる関連する攻撃手法を拡張し、詐欺師がユーザーの既知の連絡先に視覚的に似たウォレットアドレスから少額の暗号通貨を送信します。これは通常、ユーザーがアドレスの部分的な一致に頼ること - よくあるのは最初と最後の4文字 - を悪用することに依存しています。
高度なフィッシング
ゼロトランスファー詐欺とアドレス中毒の背後にある主要な危険は、暗号プロトコルを破ることではなく、ユーザーの行動を操作することにあります。暗号ウォレットのインターフェイス - 特にブラウザベースのウォレットやモバイルアプリ - はしばしばアドレス履歴や過去の取引を安全性、信頼性、または以前の使用の指標として表示します。これは、コードの脆弱性ではなく、人間の意思決定に頼る攻撃面を生じさせます。
最近の260万ドルの盗難事件では、被害者はウォレットの取引履歴を使用してアドレスを開始または確認し、既知または以前に信頼された連絡先に資金を送信していると思い込んでいたようです。攻撃が3時間以内に繰り返されたことは、被害者が最初の損失を時間内に検出しなかったか、最初の取引が合法であると信じたことを示唆しています - いずれのシナリオも、現実の時間で詐欺がどれほど巧妙で説得力があるかを示しています。
損失は全てUSDT (テザー) でした。USDTは、日常的に何十億ドルものオンチェーンボリュームを持つ広く使用されているステーブルコインです。USDTは一般的に大規模な機関および小売の転送に使用されるため、精密な詐欺が高価値ウォレットを狙う主要なターゲットとなっています。
毒殺攻撃の増加
この事件は孤立していません。2025年1月に発表された包括的な研究によれば、2022年7月から2024年6月までの間に、EthereumおよびBNB Chain全体で2700万以上のアドレス中毒の試みが記録されました。それらの攻撃のうち6000件のみが成功しましたが、確認された損失は合計で8300万ドルを超えました。
試行の多さ - 成功か否か - は、毒殺戦略が実行するのに安価であり、ユーザーの行動傾向や一般的な暗号ウォレットのアンチフィッシングUXの不足により、引き続き効果的であることを示しています。
特に、個々のケースでの損害の規模は重大です。2023年には、同様のゼロトランスファー詐欺がUSDTで2000万ドルの盗難につながり、最終的にテザーがウォレットをブラックリストに入れました。ただし、ブラックリ
ストは普遍的な安全策ではありません - 多くのトークンは発行者のブラックリストをサポートしておらず、すべてのブロックチェーンネットワークが同様の介入ツールを提供しているわけではありません。
AI検出ツールとインターフェースのオーバーホール
ゼロトランスファーフィッシングの増加に対応して、いくつかのサイバーセキュリティおよびウォレットインフラストラクチャ企業は、より賢い検出システムを通じてリスクを軽減しようとしています。
今年初め、ブロックチェーンセキュリティ企業Trugardは、オンチェーンセキュリティプロトコルWebacyと提携し、アドレス中毒の試行をフラグするように設計されたAIベースの検出システムを導入しました。開発者によると、このツールは歴史的な攻撃データを使用したテストで97%の精度を示しています。
システムは、トランザクションメタデータ、転送行動、およびアドレスの類似性のパターンを分析し、取引が完了する前にユーザーに警告することで動作します。ただし、人気のあるウォレットへの広範な導入は依然として限られており、多くのプラットフォームがサードパーティのセキュリティツールと統合する過程にあります。
一部のウォレット開発者も、取引履歴の表示方法の変更を検討しています。たとえば、ゼロバリューのトランザクションをフラグし、信頼スコアに基づいてアドレスを色分けし、完全なアドレスの検証を簡単にすることが、詐欺の成功率を妨げる方法として検討されています。ただし、そのようなインターフェースの変更が業界全体で標準化されるまで、ユーザーは依然として脆弱なままです。
法的および規制の盲点
ゼロトランスファー詐欺は技術的に単純ですが、加害者に対する法的措置は複雑で成功することはまれです。多くのこれらの詐欺は、偽名または外国の団体から発生し、資金は迅速に分散型取引所、ミキサー、またはクロスチェーンブリッジを介して洗浄されます。
テザーのようなステーブルコイン発行者は、中央集権的な制御メカニズムが存在する場合のみ介入できます - しかも、盗難された資金が触れられずまたは追跡可能である場合に限ります。攻撃者が資金をプライバシープールに移動したり、他の資産に変換したりすると、回収は事実上不可能になります。
さらに、法執行機関は、そのような攻撃を調査するための技術的専門知識や管轄上の権限を欠いており、より大規模な組織的キャンペーンの一部でない限り調査することが困難です。
最終的な防衛ライン
当面の間、エンドユーザーは、特に大規模な価値のある送金を行う際にブロックチェーンアドレスとの相互作用において、注意を高めなければなりません。ベストプラクティスには以下が含まれます:常にアドレス全体を確認する、最初と最後の文字だけでなく、アドレスのコピーにウォレット履歴を使用しない、公式なソースからの既知のアドレスを手動でブックマークする、ビルトインフィッシング検出機能があるウォレットを使用する、潜在的な警告信号としてゼロバリューの受信トランスファーを監視する。
ゼロトランスファーフィッシング攻撃の増加は、プロトコルレベルのハッキングからオンチェーンメタデータを使用したソーシャルエンジニアリング攻撃へのWeb3脅威のシフトを示しています。公共のブロックチェーン上の資産の価値が上がるにつれて、これらの手法の洗練化も向上するため、ユーザー教育とより良いウォレットツーリングが資金を守るために重要です。