広場
最新
注目
ニュース
プロフィール
ポスト
HanssiMazak
2025-12-24 05:34:06
フォロー
#EthereumWarnsonAddressPoisoning
A $50M 損失はウォレットのユーザーエクスペリエンスとアドレス確認におけるシステム的なセキュリティの失敗を露呈する
最近、$50 百万USDTのアドレス詐欺事件がEthereumで発生し、暗号ユーザーや機関が直面している最も危険なセキュリティの欠陥の一つが浮き彫りになりました。この事件では、既知のウォレットに送るつもりだった大きな送金が、被害者の取引履歴に「ポイズン」された類似のアドレスに誤って送信されました。攻撃者は、意図した受取人と同じ最初と最後の文字を共有するウォレットアドレスを生成し、表示用にアドレスを短縮する一般的なウォレットの慣行を悪用しました。最近の履歴に表示される省略された形式を信頼して、被害者は中間の文字を確認することなくアドレスをコピーし、ほぼ$50 百万を詐欺師のウォレットに送信しました。
アドレスポイズニングはエッジケースではありません。それはスケーラブルな攻撃ベクターです。研究によると、攻撃者はEthereumや他のEVM互換チェーン上で何百万もの類似アドレスを生成することができ、結果として substantial financial losses が発生し、何千人ものユーザーに影響を与えます。これらの攻撃は、アドレスの中間文字を隠すウォレットの習慣を利用し、偽のアドレスを取引履歴に埋め込むことで、ユーザーを一見小さなエラーに対して壊滅的な結果をもたらす脆弱性にさらします。
多くの人気ウォレットは、ユーザーに対して疑わしいまたは視覚的に類似したアドレスについて十分な警告を発していません。50以上のEthereumウォレットの評価では、効果的な警告を実施しているのはごくわずかであり、ほとんどのユーザーが視覚的類似性を悪用する攻撃にさらされています。経験豊富なオペレーターでさえ、この予測可能な失敗モードに騙される可能性があり、その根本的な原因はユーザーの過失ではなく、ウォレットのUXにおける設計上の欠陥であることが強調されています。
最近の$50M のケースでは、被害者は高額取引に推奨されるように、初めに少額のテスト送金を行いました。しかし、数分後、ウォレットの履歴に挿入された悪意のあるアドレスに大きな送金が行われました。30分以内に、攻撃者は盗まれたUSDTを他のトークンにスワップし、ミキサーを通じて資金をルーティングし、盗まれた資産を実質的に洗浄しました。これは、攻撃者がどれほど迅速かつ効率的に小さなUXの弱点を悪用できるかを示しています。
システム的な問題はウォレットのデザインにあります。ほとんどのウォレットは「0x1234…ABCD」のようにアドレスを表示しており、ユーザーが目に見える部分のみを確認するように暗黙的に訓練しています。攻撃者は、同じ接頭辞と接尾辞を持つアドレスを生成することでこれを悪用し、隠れた中間部の不一致をほぼ見えなくします。この問題は、攻撃者がGPUアクセラレーションツールを使用して、数千の類似アドレスを生成し、それをユーザーの履歴に埋め込むことで悪化し、日常のウォレットインタラクションを武器化します。
緩和には、ウォレットレベルの変更と規律ある運用慣行の両方が必要です。ウォレットのユーザーインターフェースは、デフォルトで完全なアドレスを表示し、アドレスをペーストまたは選択する際に、違いを強調表示するビジュアルディフを提供する必要があります。ヒューリスティックは、既知の連絡先に対する類似の一致をフラグ付けし、新しいまたは視覚的に似ているアドレスが使用された場合には明確な警告を発する必要があります。Ethereum Name Service (ENS)のような人間が読みやすい命名システムは役立ちますが、解決されたアドレスが名前と共に表示され、信頼できるチャネルを通じて検証される場合に限ります。
高価値のユーザー、DAO、および財務管理者にとって、運用の規律は今や不可欠です。ベストプラクティスには、転送を承認する前にアドレスを手動で完全に確認すること、ウォレットの履歴からアドレスをコピーしないこと、別の確認を介して安全なチャネルでテスト取引を実行すること、安全なアドレスのホワイトリストを維持すること、および重要または初めての受取人に対するマルチ署名承認を強制することが含まれます。高度な企業は、類似アドレスや疑わしいダスト取引を検出するためにオンチェーン監視を利用することもあります。
より広い教訓は明白です:セキュリティよりも利便性を優先するUXの選択は、敵対的な環境において予測可能な攻撃ベクトルを生み出します。かつて許容されていたウォレットのデザインは、特に攻撃者がより洗練され、機関の採用が進むにつれて、深刻なリスクをもたらすようになりました。アドレスの表示と検証は、見た目の要素ではなく、重要なセキュリティの表面として扱われるべきです。この現実にウォレット、ネーミングシステム、運用慣行が一致するまで、見た目が似ているアドレスのフィッシングは、暗号における最も効率的で壊滅的な盗難の形態の1つであり続けるでしょう。
ETH
-0.12%
ENS
-0.65%
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については
免責事項
をご覧ください。
6 いいね
報酬
6
5
リポスト
共有
コメント
0/400
コメント
MrFlower_XingChen
· 5時間前
メリークリスマス ⛄
原文表示
返信
0
MrFlower_XingChen
· 5時間前
メリークリスマス ⛄
原文表示
返信
0
alazuzay
· 9時間前
メリークリスマス ⛄
原文表示
返信
0
Discovery
· 11時間前
メリークリスマス ⛄
原文表示
返信
0
Discovery
· 11時間前
クリスマスのブルラン! 🐂
原文表示
返信
0
人気の話題
もっと見る
#
Gate2025AnnualReportComing
83.2K 人気度
#
CryptoMarketMildlyRebounds
37.06K 人気度
#
GateChristmasVibes
19.29K 人気度
#
SantaRallyBegins
6.83K 人気度
#
CreatorETFs
3.84K 人気度
人気の Gate Fun
もっと見る
最新
ファイナライズ中
リスト済み
1
Monk
MONKAGIGA
時価総額:
$3.59K
保有者数:
2
0.29%
2
LYNX
BitLynx
時価総額:
$3.5K
保有者数:
1
0.00%
3
FZCommunity
FZCommunity
時価総額:
$3.55K
保有者数:
2
0.00%
4
FZC
FZCommunity
時価総額:
$3.62K
保有者数:
2
0.40%
5
VP
MVP
時価総額:
$3.49K
保有者数:
1
0.00%
ピン
サイトマップ
#EthereumWarnsonAddressPoisoning A $50M 損失はウォレットのユーザーエクスペリエンスとアドレス確認におけるシステム的なセキュリティの失敗を露呈する
最近、$50 百万USDTのアドレス詐欺事件がEthereumで発生し、暗号ユーザーや機関が直面している最も危険なセキュリティの欠陥の一つが浮き彫りになりました。この事件では、既知のウォレットに送るつもりだった大きな送金が、被害者の取引履歴に「ポイズン」された類似のアドレスに誤って送信されました。攻撃者は、意図した受取人と同じ最初と最後の文字を共有するウォレットアドレスを生成し、表示用にアドレスを短縮する一般的なウォレットの慣行を悪用しました。最近の履歴に表示される省略された形式を信頼して、被害者は中間の文字を確認することなくアドレスをコピーし、ほぼ$50 百万を詐欺師のウォレットに送信しました。
アドレスポイズニングはエッジケースではありません。それはスケーラブルな攻撃ベクターです。研究によると、攻撃者はEthereumや他のEVM互換チェーン上で何百万もの類似アドレスを生成することができ、結果として substantial financial losses が発生し、何千人ものユーザーに影響を与えます。これらの攻撃は、アドレスの中間文字を隠すウォレットの習慣を利用し、偽のアドレスを取引履歴に埋め込むことで、ユーザーを一見小さなエラーに対して壊滅的な結果をもたらす脆弱性にさらします。
多くの人気ウォレットは、ユーザーに対して疑わしいまたは視覚的に類似したアドレスについて十分な警告を発していません。50以上のEthereumウォレットの評価では、効果的な警告を実施しているのはごくわずかであり、ほとんどのユーザーが視覚的類似性を悪用する攻撃にさらされています。経験豊富なオペレーターでさえ、この予測可能な失敗モードに騙される可能性があり、その根本的な原因はユーザーの過失ではなく、ウォレットのUXにおける設計上の欠陥であることが強調されています。
最近の$50M のケースでは、被害者は高額取引に推奨されるように、初めに少額のテスト送金を行いました。しかし、数分後、ウォレットの履歴に挿入された悪意のあるアドレスに大きな送金が行われました。30分以内に、攻撃者は盗まれたUSDTを他のトークンにスワップし、ミキサーを通じて資金をルーティングし、盗まれた資産を実質的に洗浄しました。これは、攻撃者がどれほど迅速かつ効率的に小さなUXの弱点を悪用できるかを示しています。
システム的な問題はウォレットのデザインにあります。ほとんどのウォレットは「0x1234…ABCD」のようにアドレスを表示しており、ユーザーが目に見える部分のみを確認するように暗黙的に訓練しています。攻撃者は、同じ接頭辞と接尾辞を持つアドレスを生成することでこれを悪用し、隠れた中間部の不一致をほぼ見えなくします。この問題は、攻撃者がGPUアクセラレーションツールを使用して、数千の類似アドレスを生成し、それをユーザーの履歴に埋め込むことで悪化し、日常のウォレットインタラクションを武器化します。
緩和には、ウォレットレベルの変更と規律ある運用慣行の両方が必要です。ウォレットのユーザーインターフェースは、デフォルトで完全なアドレスを表示し、アドレスをペーストまたは選択する際に、違いを強調表示するビジュアルディフを提供する必要があります。ヒューリスティックは、既知の連絡先に対する類似の一致をフラグ付けし、新しいまたは視覚的に似ているアドレスが使用された場合には明確な警告を発する必要があります。Ethereum Name Service (ENS)のような人間が読みやすい命名システムは役立ちますが、解決されたアドレスが名前と共に表示され、信頼できるチャネルを通じて検証される場合に限ります。
高価値のユーザー、DAO、および財務管理者にとって、運用の規律は今や不可欠です。ベストプラクティスには、転送を承認する前にアドレスを手動で完全に確認すること、ウォレットの履歴からアドレスをコピーしないこと、別の確認を介して安全なチャネルでテスト取引を実行すること、安全なアドレスのホワイトリストを維持すること、および重要または初めての受取人に対するマルチ署名承認を強制することが含まれます。高度な企業は、類似アドレスや疑わしいダスト取引を検出するためにオンチェーン監視を利用することもあります。
より広い教訓は明白です:セキュリティよりも利便性を優先するUXの選択は、敵対的な環境において予測可能な攻撃ベクトルを生み出します。かつて許容されていたウォレットのデザインは、特に攻撃者がより洗練され、機関の採用が進むにつれて、深刻なリスクをもたらすようになりました。アドレスの表示と検証は、見た目の要素ではなく、重要なセキュリティの表面として扱われるべきです。この現実にウォレット、ネーミングシステム、運用慣行が一致するまで、見た目が似ているアドレスのフィッシングは、暗号における最も効率的で壊滅的な盗難の形態の1つであり続けるでしょう。