バイナンスへのゼロトランスファー攻撃

Binance(バイナンス)のゼロトランスファー攻撃の標的になっていた件が話題になっていました。

バイナンスの内部アドレスがゼロトランスファースキャムの標的に、実際の金銭的損失は発生せず - Crypto AI-Digest

image

内容を要約すると、

  • 8/2日バイナンスが所有するウォレットアドレスに対してゼロトランスファー攻撃があった
  • バイナンスの経験豊富な暗号資産オペレーターが誤ってスキャムに対し2,000 万ドル送金
  • バイナンスは即座に過ちに気づき、時間内にUSDT(テザー)を凍結。事件は未然に防がれた。

ということです。

 

 今回の件はバイナンスだから気づけたし早く対処することで事件を未然に防ぐことができた。とも言えます。

 誠に残念ながら、個人で被害にあってしまうと対処のしようがありません。割と昔からあるスキャムかと思いますが、体感としては昨年あたりからこの手のスキャムが増えてきているような気がします。

ゼロトランスファー攻撃とは

 ゼロトランスファー攻撃は、自分のウォレットアドレスから詐欺師のウォレットアドレスへの送金履歴を作り、誤送金を狙う手法です。

 メタマスクではアクティビティから過去の送金履歴が見れると思いますが、ここに意図的な取引履歴を挿入されているようなものであり、「過去送金したことあるウォレットアドレスだから安心」と送金してしまうと送金先が詐欺師であり、資金をGOX(ゴックス)してしまいます。

image (1)

引用元:https://dadada.blog/metamask-trading-history/

 

 ちなみに、ゼロトランスファー詐欺やアドレスポイズニング、ゼロ送金攻撃(詐欺)、等と様々な呼び方があり、明確に定まっていませんが、誤送金を狙うものなので詐欺よりも「攻撃」や「詐取」の言葉が適当な気がしています。

どうやって送金履歴をつくるのか?

 通常の場合、送金を行う際にはウォレットアドレスの所有者の署名がなければ送金できませんが、送金額が"ゼロ"の場合は、ウォレットアドレスの所有者の許可なく送金が可能です。これにより、意図的に送金履歴を攻撃対象のウォレットアドレスに忍ばせることができます。

ウォレットアドレスを見ても気づくのは難しい

 送金履歴があったとて、自分のウォレットアドレスなのだから見ればわかると思うかもしれませんが、この攻撃の巧妙なところはウォレットアドレスの最初と最後だけ攻撃対象のウォレットアドレスと同じにしている点です。

今回のバイナンスの件ではウォレットアドレスが以下の様になっていました。

image (2)

参考: モノアイさんのTweetから引用

 

 ウォレットアドレスの上5桁と下6桁が完全に一致しており、ちゃんと細かく見ないと気づけません。

 しかも、アプリUIの関係上、長いウォレットアドレスは真ん中が省略されますので、最初と最後を合わせられた状態では気づきようがありません。この状態でウォレットアドレスをコピペしてしまうと攻撃を受けてしまうということです。

image (3)
 ちなみに、特定の文字列を意図的に生成する方法や生成したアドレスを Vanity Address(バニティアドレス)と呼びます。

Vanity Address(バニティアドレス)とは?

 通常、ウォレットアドレスは無意味な文字列や数字が並んでいるモノですが、バニティアドレスは意図的に任意の文字列を挿入したアドレスです。任意の文字列を挿入したところで特に意味はありませんが、0xnobumei…といったカスタムアドレスを作ることができます。この手法を用いて、攻撃対象のウォレットアドレスに告示したアドレスを任意に作成することができます。

そもそもゼロトランスファー攻撃は詐欺じゃない?!

 今回のスキャムはユーザーが誤送金してしまう個人の過失を狙って行われているものです。強制的にハッキングで資金を奪われているわけではなく、誤送金とはいえユーザーが自ら送金しているため、セルフGOXとも言えます。扱いとしては、慈善団体に暗号資産を寄付した履歴と同じであり、送付先のウォレットアドレスが詐欺師なのか慈善団体なのか見分けが付きません。この場合、悲しいですが雑損として計上できない可能性があります。

 そもそも送付先のウォレットアドレスが自分のものではないと証明することが困難であるため、自分の保有アドレスに資産をトランスファーしてセルフGOXしたと嘘をついている場合と区別がつきません。

 そのため、もう自分の管理下から離れた暗号資産に利益が出ていた場合、納税時に破産してしまうリスクがあります。

送金前のチェックリスト

 送金は慣れてくると2、3クリックでなんとなくやってしまうものですが、以下のチェックリストは毎回チェックした上で送金すべきです。

 
✅ウォレットアドレスコピペ先確認
  本件は送金履歴からコピペすることによる誤送金ですので、送金履歴からのコピペにをしないようにする。
✅送付先のアドレスチェック
  目視確認。こういうときにENSを持っていると便利です。
✅送付アドレスのラベル登録
  取引所やウォレットによってはウォレットアドレスにラベルを付けることができます。
  可読性向上のためにラベルはつけておきましょう。
✅本送金前の少額送金
  仮に誤送金したとしても被害を最小限に食い止める方法です。