メタマスク、新手の詐欺「アドレスポイズニング」について注意喚起

暗号資産(仮想通貨)の主要ウォレット「Metamask(メタマスク)」は12日、「アドレスポイズニング」という新たな詐欺が発生しているとしてユーザーに注意を促した。

A new scam called 'Address Poisoning' is on the rise. Here's how it works: after you send a normal transaction, the scammer sends a $0 token txn, 'poisoning' the txn history. (1/3)

— MetaMask Support (@MetaMaskSupport) January 11, 2023

手口はこうだ。

まず犯罪者は「アドレスポイズニング(アドレス汚染)」でターゲットのユーザーの取引を追跡し、その取引履歴に記録されている受取人アドレスと類似した文字列で、詐欺用のウォレットアドレスを作成する。

次に犯罪者は、その詐欺用アドレスからターゲットとなる者のウォレットに、ごくわずかな量のトークンを送金。すると、この取引もターゲットとなるユーザーの取引履歴に記録されることになる。

ウォレットの取引履歴に記録された詐欺用の“偽のアドレス”を“本物のアドレス”と誤認したユーザーが、“偽のアドレス”の方をコピー&ペーストとして送金しまうと不正な搾取が成立する。

関連:「MetaMask(メタマスク)」とは|月間2000万人超が利用の仮想通貨ウォレット

コピー&ペースト機能を狙う

メタマスクでは利便性を高めるため、取引履歴のウォレットアドレスをワンクリックでコピー&ペーストできるようになっており、多くのユーザーが利用していることにある。

コピー&ペースト機能によりタイプミスを防いで送金できるため、多くのWeb3アプリがこうした機能を用意しているところであるが、今回の「アドレスポイズニング」はこの仕様を悪用した形だ。

犯罪者が生成する”偽のウォレットアドレス”は、最初と最後の文字列を本物のアドレスと類似させていることが多い。イーサリアムなど暗号資産(仮想通貨)のウォレットアドレスは非常に長いため、ユーザーは最初と最後の数文字だけを確認して正しいかどうか判断することが多い。

そのため、偽のウォレットアドレスに送金してしまう被害が後を絶たないという。

被害に遭わないための方法

メタマスクは、こうした「アドレスポイズニング」の被害に遭わないための助言も提供している。

まず、取引履歴からアドレスをコピーすることは避け、コピペする場合には最初と最後だけではなく、アドレス全体に差異がないか確認することを推奨した。その際、メタマスクなどの仮想通貨ウォレット内の取引履歴だけではなく、取引エクスプローラーに表示される履歴についても確認する方が安全としている。

また、送金先アドレスと、ユーザー自身のアドレス両方を確認すべきとも続けた。

その他に、よく使うアドレスをメタマスクの「アドレス帳」に登録すること、最初に少額だけテスト送金を行うこと、ハードウェアウォレットを使用することなどを挙げている。ハードウェアウォレットについては、完全に詐欺を防げないものの、送信先のアドレスを確認することを習慣化はできると説明した。