再送した瞬間に消えた｜取引履歴を狙うアドレスポイズニングの手口

先週送ったばかりのアドレスに、もう一度送金した。宛先は確認した。金額も同じ。それなのに資金は届かなかった——正確には、詐欺師のウォレットに届いていた。

この瞬間の恐怖を、想像したことがあるでしょうか。アドレスポイズニングと呼ばれる手口は2024年に急増しており、保有額が大きいほどターゲットにされやすくなります。

取引履歴を「汚染」する仕組み

ビットコインのアドレスは26〜62文字の英数字の羅列です。毎回手入力する人はほとんどいません。多くの人は過去の取引履歴から「先週も送ったあのアドレス」を選んで再送します。攻撃者は、その行動そのものを罠に変えます。

手口はこうです。まず攻撃者は公開ブロックチェーン上であなたの取引履歴を確認します。次に、あなたが過去に送金したアドレスと先頭・末尾の数文字が完全に一致する偽アドレスを生成し、そこからあなたのウォレットへごく少額（数百円相当）を送付します。

たとえば本物の受取アドレスが bc1qxyz...abc1234 だとすると、攻撃者が生成する偽アドレスは bc1qxyz...abc9999 のような形になります。先頭8文字・末尾8文字は完全に一致していますが、中間部分はまったく別のウォレットを指しています。

この「汚染された」少額受信の記録があなたのウォレット履歴に残ります。次に送金しようとしたとき、あなたは「先週と同じ宛先」として履歴を参照し、偽アドレスをクリックしてしまう。その瞬間、全額が消えます。

なぜ気づかないのか。これは技術的な脆弱性ではなく、人間の認知特性を精密に突いた攻撃です。

60文字を超えるアドレスを先頭から末尾まで1文字ずつ照合する人はほとんどいません。多くの人は先頭数文字と末尾数文字だけを確認して「合っている」と判断します。攻撃者はまさにその習慣を前提に設計しています。

2024年にはイーサリアムエコシステムを中心にこの手口による被害が急増し、ブロックチェーン分析企業の報告では一件あたりの被害が数千万円規模に達するケースが複数確認されています。ビットコインネットワークでも同様のパターンが観測されており、保有額が増えるほどリスクは比例して高まります。

取引所のウォレットを使っている場合、この問題はさらに深刻になります。

取引所は秘密鍵をあなたの代わりに管理しています。送金履歴の表示も取引所のUIに完全に依存するため、オンチェーン上の実際の履歴をあなた自身が精査する手段がありません。取引所が何らかのフィルタリングをかけていたとしても、それが正しく機能しているかどうかを確認する方法もありません。

「取引所に任せているから安心」という感覚は、「取引所に任せているから自分では確認できない」という事実と裏表の関係にあります。送金操作の主導権を持ちながら、その検証手段は持っていない。これが取引所保管の実態です。

セルフカストディであれば、送金前の全ステップを自分でコントロールできます。

ハードウォレットを使った送金フローでは、デバイス本体の画面にアドレスが表示され、送金確定前に1文字ずつ照合するステップが設けられています。この数十秒の確認作業が、全財産を守る唯一の防衛線になります。

日常的に身につけるべき習慣は次の3点です。

アドレスポイズニングは「信頼している履歴を疑わない」という人間の自然な行動を標的にした攻撃です。どれだけ優れたセキュリティソフトも、あなたが「正しい」と判断して実行した送金操作を止めることはできません。

送金先を1文字ずつ自分の目で確認できる環境を持つこと。それがこの攻撃への唯一の実効的な答えです。今日、ハードウォレットへの移行を検討してください。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。