チャールズ・ホスキンソン氏がアドレスポイズニング攻撃に意見
トレーダーがアドレスポイズニング攻撃で5,000万ドル相当のUSDTを失った件を受けて、チャールズ・ホスキンソン(Charles Hoskinson)氏がアカウントベースブロックチェーンが原因と指摘した。
この件を受け、チャールズ・ホスキンソン氏は、カルダノ(Cardano/ADA)のようなUTXOブロックチェーンはポイズニング攻撃に耐性があると主張。アドレスポイズニング攻撃、つまりアカウントベースのブロックチェーンにおける取引履歴とアドレス再利用の管理方法を悪用した詐欺行為によって投資家がUSDTで約5,000万ドルを失った。
How to lose $50M in under an hour. This is one of the largest on-chain scam losses we’ve seen recently.
A single victim lost $50M in $USDT to an address poisoning scam. The funds had arrived less than 1h earlier.
The user first sent a small test tx to the correct address. Mins… pic.twitter.com/Umsr8oTcXC
— Web3 Antivirus (@web3_antivirus) December 19, 2025
1時間以内に5,000万ドルを失う方法。これは、最近発生したオンチェーン詐欺による最大規模の損失の一つです。ある被害者がアドレスポイズニング詐欺によってUSDTで5,000万ドルを失いました。資金は1時間以内に到着していました。ユーザーはまず、正しいアドレスに少額のテストトランザクションを送信しました。数分後、5,000万ドルは取引履歴からコピーされたポイズニングされたアドレスに送金されました。
被害者は約2年間ウォレットを運用し、主にUSDTの送金をしており、標準的なセキュリティ対策に従い、50USDTのテストトランザクションを送信。これは多くの人が安全と考える行動で、数分後により大きな送金を実行。しかし、この2回目の送金時に被害者である投資家は、取引履歴からアドレスをコピーする際、正しいアドレスではなく、誤ってポイズニングされたアドレスを選択してしまった結果、たった1度のクリックで5,000万ドルが失われた。
ホスキンソン氏によると、この種のエラーに対する耐性が本質的に高いアーキテクチャー(※構造・設計)では、このような事態は発生しなかったという。なお、盗まれたUSDTは移動または交換される可能性が高いものの、現在も送金先アドレスに残ったままである。
アドレスポイズニングは根本的な設計上の欠陥を悪用
カルダノの創設者であるホスキンソン氏は、この脆弱性はアカウントベースのブロックチェーンシステムにおけるアーキテクチャ上の選択に起因すると述べている。
イーサリアム(Ethereum/ETH)やその他のEVM(Ethereum Virtual Machine:イーサリアム仮想マシン)互換チェーンは、トランザクション履歴においてアドレスを自由形式の文字列として表示する。ウォレットはユーザーに過去のトランザクションからアドレスをコピーすることを推奨しており、まさにこれがハッカーが悪用する点となっている。
同氏は、ビットコインやCardanoのようなUTXOベースのブロックチェーンは、この攻撃ベクトルの影響を受けないと主張。これらのシステムは、既存のトランザクション出力を消費し、転送ごとに新しい出力を作成することで、ポイズニング攻撃を可能にするアドレス再利用パターンを防止する。
UTXOウォレットは、アカウント履歴から宛先アドレスをコピーするのではなく、トランザクション出力を明示的に選択する。
