暗号資産の世界で、またしても“ワンクリック破産”のような事件が起きた。
オンチェーンデータによると、水曜日、ある暗号資産ユーザーがイーサリアム上でフィッシング詐欺のトークン承認に署名し、約100万ドル、日本円にして約1億6200万円を失った。今年上半期だけで、フィッシング被害は3億6600万ドル、約594億円に達しているというのだから、もはや「うっかり」では済まされない規模である。
木曜日、詐欺検知サービス「スキャム・スニファー」が出した警告によれば、被害者はイーサリアム上のフィッシング承認詐欺によって、99万9999USDTを失った。犯人側は当初、マルチコールを使ってキリのいい100万ドルを抜き取ろうとしたが、残高不足で失敗。だが数秒後、今度は残高にぴったり合わせた金額を再計算し、続く送金で資金を抜き取ることに成功した。
「スクリプトが再計算し、残っていた残高を正確に抜き取った」
スキャム・スニファーはそう説明している。
フィッシングによるトークン承認を使ったソーシャルエンジニアリングは、いまや暗号資産詐欺の定番手口となっている。セキュリティ企業サーティックによれば、2025年のフィッシング被害は248件で総額7億2300万ドル、約1174億円にのぼった。詐欺師は、被害者に「ちょっとした操作」に見える取引を承認させる。だが実際には、その承認によって悪意ある第三者がウォレット内の資金にアクセスできるようになる。
被害者は「承認」をクリックすれば、軽い作業が始まるだけだと思い込む。しかし、悪意あるリンクは攻撃者に資金を抜き取る権限を与えてしまうのだ。
今回の事件では、攻撃者は3回の取引で99万9999ドル、約1億6240万円を抜き取った。
詐欺師は同じウォレットを使い回す
今月初めにも、よく似た事件が報告されている。あるウォレット保有者が偽の取引所に接続し、悪意あるコントラクトに署名した結果、165万ドル、約2億6800万円を失ったというのだ。
研究者のライアン・コールマン氏は金曜日、こう指摘した。
「その承認により、攻撃者は無制限のアクセスを得た。自動化された資金回収プログラムによって、資金が抜き取られた」
ブロックチェーン分析企業チェイナリシスは6月、オンチェーン詐欺による被害額が2025年に少なくとも140億ドル、約2兆2700億円に達したと報告している。なかでも投資詐欺が依然として最大のカテゴリーであり、その一部はオンチェーン上で「承認フィッシング」という形を取っているという。
チェイナリシスのシニア調査員、レナト・バストス氏はこう述べた。
「詐欺師は、同じウォレット、コントラクトの正規の承認機能、そして資金化ルートを、複数の被害者に対して使い回している。つまり、ひとつの通報が、より大きなネットワークの露呈につながるのです」
スキャム・スニファーは暗号資産ユーザーに対し、署名リクエストを承認する前に必ず内容を二重チェックすること、急かされる取引を避けること、そして詐欺検知用のブラウザ拡張機能などを使うことを勧めている。
「アドレス・ポイズニング」も依然として脅威
フィッシング承認と並び、詐欺師が使うもうひとつの攻撃手法が「アドレス・ポイズニング」だ。
この手口では、詐欺師が標的のウォレットアドレスに非常によく似たアドレスを作成し、ごく少額の“ダスト”資金を送りつける。すると被害者の取引履歴にそのアドレスが表示され、ユーザーが本来の送金先と勘違いして、詐欺師のアドレスへ送金してしまう、というわけだ。
人気のイーサリアムウォレット「メタマスク」は6月、アドレス・ポイズニングをリアルタイムで検知する機能を導入した 。この機能は、貼り付けられたアドレスと、過去にウォレットがやり取りしたアドレスを比較するものだ。
暗号資産の世界では、たった一度の「承認」が、銀行印も暗証番号もまとめて渡す行為になりかねない。画面に表示された「Approve」の一語。その軽さとは裏腹に、失う金額はあまりにも重い。


