2025年8月、ある暗号資産投資家がたった1回の誤った署名操作により300万ドル(約4.5億円)相当のUSDTを失うという事件が発生しました。
この事例は、ハッカーが技術的な突破ではなく、人間の心理的脆弱性を狙う攻撃へとシフトしている現状を浮き彫りにしています。
以下は、記事「Crypto investor falls victim to phishing scam, loses $3M with single click」の日本語まとめ記事です:
たった1クリックで300万ドル喪失──暗号資産投資家がフィッシング詐欺の被害に
■ 事件の概要
- 被害者は、ブロックチェーン上の悪意ある取引に署名してしまい、3.05M USDT(テザー)を詐欺師に送金。
- 問題の取引は、契約アドレスを確認しないまま承認されたことが原因。
- このケースは、ブロックチェーン解析プラットフォームLookonchainがX(旧Twitter)で報告。
■ フィッシング詐欺とは?
- 暗号資産のフィッシング攻撃は、偽リンクを通じてユーザーの秘密鍵や署名を騙し取る「ソーシャルエンジニアリング」手法。
- 多くのユーザーは、ウォレットアドレスの最初と最後の数文字のみで確認しがちだが、中間部分に細工された偽アドレスによる詐欺が増加。
- 被害は急増しており、2024年には296件で合計10億ドル以上の暗号資産が流出(CertiK調査)。
■ 他にも続出する被害事例
- 900,000ドル以上のデジタル資産を失った被害者も報告されており、その原因は458日前に署名された悪意ある承認取引。
- 2024年5月には「ウォレットポイズニング詐欺」で7100万ドルが流出。驚くことに、犯人は2週間後に全額返金。
→ 国際的な調査チームによる追跡で、犯人のIPアドレスが香港と特定され、返金に至ったとみられます。
■ セキュリティ対策と課題
- フィッシング詐欺は2024年で最も被害額が大きい攻撃手法となっており、今後も注意が必要。
- Binance(バイナンス)は、**「アドレスポイズニング対策アルゴリズム」**を導入し、約1500万件の偽アドレスを特定。
- CertiKの報告によれば、「実際の被害額は、報告されていないものを含めるとさらに大きい」とのこと。
🔐 教訓と対策
- 不明な送金先や契約には絶対に署名しない
- ウォレットアドレスは中間部分までしっかり確認する
- 定期的にウォレットのアクセス権や承認済みコントラクトを見直す
- 信頼できるセキュリティツールや監視サービスの利用も有効
🧠 まとめ
今回の事件は、技術の穴ではなく「人間の油断」を突く詐欺がいかに深刻かを物語っています。
ブロックチェーンの利便性と匿名性を享受する一方で、ユーザー自身のリテラシーと警戒心が最大の防御手段であることを改めて認識すべきタイミングです。
