オンチェーン詐欺による大規模な損失
最近、オンチェーン詐欺による大規模な損失が発生しました。アドレスポイズニング攻撃という手法が、アカウントベースのブロックチェーンが取引履歴とアドレスの再利用を管理する方法を利用し、単一のユーザーが約5000万ドルのUSDTを失う結果となりました。チャールズ・ホスキンソン氏によれば、このようなエラーに対して本質的により耐性のあるアーキテクチャでは、このような事態は起こらなかっただろうとのことです。
アドレスポイズニング攻撃のメカニズム
この攻撃はどのようにして起こったのでしょうか。もう一つの理由として、UTXO(未使用トランザクション出力)モデルの優位性が挙げられます。ビットコインとカルダノは、被害者のウォレットから資金が引き出された後も影響を受けませんでした。このウォレットは約2年間活動しており、主にUSDTの送金に使用されていましたが、約5000万ドルを受け取っていました。ユーザーは意図した受取人に対して短いテスト取引を送信しましたが、これは多くの人が安全な行動と考えるものです。その数分後に全額が送信されましたが、その際に誤ったアドレスが使用されてしまいました。
以前、詐欺師は被害者が以前に使用した本物のアドレスに似せたウォレットから少額のUSDTを送信することでアドレスポイズニング攻撃を実行しました。被害者は取引履歴からアドレスをコピーする際に、正しいアドレスではなく毒されたアドレスを誤って選択してしまったのです。その結果、5000万ドルが一度のクリックで失われました。
UTXOモデルの利点
盗まれたUSDTは現在も目的地のアドレスに残っていますが、おそらく移動または交換されるでしょう。「これはUTXOが素晴らしいもう一つの理由です」とホスキンソン氏はこの事件について述べました。彼の言う通り、イーサリアムや多くの他のEVMチェーンが採用しているアカウントベースのモデルは、この種の詐欺を直接引き起こします。アドレスは取引履歴に自由形式の文字列として表示され、ウォレットは以前の取引からのコピーを促進します。まさにハッカーが利用するのはその点です。
ビットコインやカルダノのようにUTXOモデルに基づくチェーンは異なる機能を持っています。すべての取引は新しい出力を生成し、既存の出力を消費します。ウォレットは通常、再利用されたアカウントエンドポイントではなく、明示的なUTXOの選択から取引を作成し、ユーザーは同じ方法でアカウント履歴から目的地アドレスをコピーすることに依存しません。視覚的に毒を盛るための持続的なアカウント状態は存在しませんでした。
これはプロトコルの欠陥やスマートコントラクトの脆弱性ではなく、人間の本性と相互作用する設計上の欠陥であり、1時間も経たずに5000万ドルの損失をもたらしました。
