世界No.1の取引所Binance、ゼロトランスファー攻撃を受け誤送金やバイナンス

#236 必殺！メルマガポイズニング攻撃

毎日Crypto業界のニュースを深堀りするニュースレターを配信しています。この業界のニュースは小難しいですが、毎日読むのが楽しくなるメールをお届けしますのでご購読よろしくお願いいたします。無料です。

前回記事

HarryPotterObamaSonic10Inu(BITCOIN)がATH！！今年のマスト倍銘柄を解説

本日のメイントピック

Binanceのゼロトランスファー攻撃の標的になっていた件が話題になっていました。

注意喚起も兼ねて、メルマガでも取り上げます。

バイナンスの内部アドレスがゼロトランスファースキャムの標的に、実際の金銭的損失は発生せず - Crypto AI-Digest

https://twitter.com/cz_binance/status/1686764372616515585?s=20

内容掻い摘んでおきますと、

• 8/2日Binanceが所有するWalletAddressに対してゼロトランスファー攻撃があった

• Binanceの経験豊富な暗号資産オペレーターが誤ってScamに対し2,000 万ドル送金

• Binanceは即座に過ちに気づき、時間内にUSDTを凍結。事件は未然に防がれた。

ということです。

今回の件はBinanceだから気づけたし早く対処することで事件を未然に防ぐことができた。とも言えます。（詐欺師には一旦送金しちゃってるのでアウトな気もしますが、、）

誠に残念ながら、個人で被害にあってしまうと対処のしようがありません。

割と昔からあるScamかと思いますが、体感としては昨年あたりからこの手のScamが増えてきているような気がします。

ゼロトランスファー攻撃とは

ゼロトランスファー攻撃は、自分のWalletAddressから詐欺師のWalletAddressへの送金履歴を作り、誤送金を狙う手法です。

Metamaskではアクティビティから過去の送金履歴が見れると思いますが、ここに意図的な取引履歴を挿入されているようなものであり、「過去送金したことあるWalletAddressやから安心や〜♪」と送金してしまうと送金先が詐欺師であり、資金をGOXしてしまいます。

引用元：https://dadada.blog/metamask-trading-history/

ちなみに、ゼロトランスファー詐欺やアドレスポイズニング、ゼロ送金攻撃(詐欺)、等と様々な呼び方があり、明確に定まっていない感じですが、誤送金を狙うものなので詐欺よりも「攻撃」や「詐取」の言葉が適当な気がしています。

■ どうやって送金履歴をつくるのか？

通常の場合、送金を行う際にはWalletAddressの所有者の署名がなければ送金できませんが、送金額が"ゼロ"の場合は、WalletAddressの所有者の許可なく送金が可能です。

これにより、意図的に送金履歴を攻撃対象のWalletAddressに忍ばせることができます。

間違ってもやり方とか検索しちゃだめですよ。

■ WalletAddress見たら気づくやろ → たぶん、人間には無理

送金履歴があったとて、自分のWalletAddressなのだから見ればわかると思うかもしれませんが、この攻撃の巧妙なところはWalletAddressの最初と最後だけ攻撃対象のWalletAddressと同じにしている点です。

今回のBinanceの件ではWalletAddressがこの様になっていました。

参考: モノアイさんのTweetから引用

WalletAddressの上5桁と下6桁が完全に一致しており、ちゃんと細かく見ないと気づけません。

しかも、アプリUIの関係上、長いWalletAddressは真ん中が省略されますので、最初と最後を合わせられた状態では気づきようがありません。この状態でWalletAddressをコピペしてしまうと攻撃を食らってしまうということですね。

ちなみに、特定の文字列を意図的に生成する方法や生成したAddressを Vanity Address(バニティアドレス)と呼びます。

■ Vanity Address(バニティアドレス)とは？

通常、WalletAddressは無意味な文字列や数字が並んでいるモノですが、Vanity Addressは意図的に任意の文字列を挿入したアドレスです。

任意の文字列を挿入したところで特に意味はありませんが、0xnobumei…といったアドレスが作れるので、多少イケてるアドレスを作ることができます。まぁ、おしゃれですね。

この手法を用いて、攻撃対象のWalletAddressに酷似したアドレスを任意に作成することができます。

そもそもゼロトランスファー攻撃は詐欺じゃない?!

今回のScamはユーザーが誤送金してしまう個人の過失を狙って行われているものです。

強制的にハッキングで資金を奪われているわけではなく、誤送金とはいえユーザーが自ら送金しているため、セルフGOXとも言えます。扱いとしては、慈善団体に暗号資産を寄付した履歴と同じであり、送付先のWalletAddressが詐欺師なのか慈善団体なのか見分けが付きません。

この場合、悲しいですが雑損として計上できない可能性があります。

そもそも送付先のWalletAddressが自分のものではないと証明することが困難であるため、自分の保有アドレスに資産をTransferしてセルフGOXしたと嘘をついている場合と区別がつきません。

そのため、もう自分の管理下から離れた暗号資産に利益が出ていた場合、納税時に破産してしまうリスクがあります。

他人事ではありません、本当に気をつけましょう。

送金前のチェックリスト

送金は慣れてくると2,3クリックでなんとなくやってしまうものですが、以下のチェックリストは毎回チェックした上で送金すべきです。

1. WalletAddressコピペ先確認

   • 本件は送金履歴からコピペすることによる誤送金ですので、送金履歴からのコピペだめ！絶対！

2. 送付先のアドレスチェック

   • 目視確認でヨシ！こういうときにENSを持っていると便利ですね。

3. 送付アドレスのラベル登録

   • 取引所やWalletによってはWalletAddressにラベルを付けることができます。可読性向上のためにラベルはつけておきましょう。

4. 本送金前の少額送金

   • これが一番重要だと思います。仮に誤送金したとしても被害を最小限に食い止める方法です

   • 少額送金はGas代がもったいない？そんな感想を持つ人は自分のWalletを持たないほうが健全です。

現場ねこ案件にならないよう、常日頃気をつけておく必要があります。

みなさんも気をつけましょう。

最近、暗号資産やNFTを触りはじめてこのあたりの意識が低そうで心配だなぁという方が身近におられましたらこそっとシェアしてもらえますと幸いです。

---

その他、Binance関連の話題

ここ最近BinanceJPなどの話題が多いですね。

8/1 Binance Japan、日本国内におけるサービスを本日より提供開始

長年金融庁から警告を受け続けてきたBinanceが日本の取引所を買収し日本市場に参入。取引銘柄は最多の34銘柄。

警告を無視し続けてきた会社が日本の弱小取引所を買収したら急に許されるムーブ何なんでしょうね。小さい会社を買収することで企業風土が急に切り替わったりするんでしょうか。消費者保護目的の免許制だと思いますが、免罪符として悪用されている気がします。

私は使いません。

8/3米司法省、Binanceに詐欺容疑をかける可能性

Binanceが米国司法省から詐欺容疑を受ける可能性があります。

司法省は、罰金や延期または非起訴合意など、仮想通貨業界の不安定化を避けるための代替手段を検討しているとのことです。さすが世界No.1の取引所は敵も多いですね。

8/4 Binanceユーザー世界1億5,000万人突破

規制対応はそこそこにユーザー数を伸ばし続けるBinance！そこに痺れる憧れる！

Binanceは取引所界隈で圧倒的なNo.1の地位を確立してますね。なにもやらかさないことを祈るばかりです。

本日は以上です。

最後に今日のNFTを受け取ってください。

NFT配布しています

ニュースレター記事1本につき、NFTを1つ配布することにしました。

このNFTをシリーズ化して購読者限定イベントとか開催できるとおもしろいとおもっているのでぜひGetしてみてください。

20230824NFT配布リンク ← こちらをクリック

Discordでコミュニティ開きました

招待リンクはこちら

■メルマガコミュニティに参加する特典

• 過去メルマガの検索、閲覧し放題です。こちらから⇒

• メルマガに書ききれないCrypto関連のNews Feedが流れてます。

今日のネタ枠

💡 真面目な話ばかりでもつまらないので息抜きにネタ枠を用意しています。

https://twitter.com/boocham_bot/status/1686379514308468737

ご連絡

拙著「Web3.0の教科書」が2023年1月11日に出版されました。ぜひ手にとってみてください。

https://twitter.com/nobu_mei/status/1615737153119727616

■ のぶめいラジオ

メルマガの内容をのぶがめいに解説するラジオをやっています。

最初はstand.fmで収録していましたが、データのDLができずPFに囲い込まれるのが嫌なのでPodcastに変更しました。良い方法を模索中です。

Supotify, Anchor, stand.fm(もう更新しない過去分)

■ SUSHI TOPの採用情報

のぶめいも働いているSUSHITOP社で一緒に働く方を募集しています。シードで１億調達したスタートアップにアーリーフェイズから参画することに関心のある方は募集職種概要をご確認の上、TwitterDMなどでご連絡ください。

募集職種：プランナー、カスタマーサクセス

相互リンク枠

■はるか先生の週間NFTニュース

@はるか先生が書いているこちらを読んでおけばNFT関連ニュースはカバーできるのでオススメ

oneseep Newsletter

We would like to inform you that oneseep has released a Japanese NFT ranking and weekly NFT news updates as a result of their activities. We will also be providing occasional information about NFTs from our members.

By haruxx

一覧はこちら：https://nftnews.jp/weekly-nft-news-list/

のぶめいメルマガにも登録お願いします！

毎日Crypto News ~仮想通貨, ブロックチェーン, NFT, DeFi~

暗号通貨, ブロックチェーン, NFT, DeFiなどCrypto業界全般に関して気になったニュースを毎日9:30に配信する無料メルマガです。@nobu_meiが書いています

By nobumei

⚡LN-BTCでのチップはこちら

nobumei@zbd.gg

LN体験してみたくなってきたらこちら → ZEBEDEE Walletを作ってLN決済を体験する

最後まで読んでくれてありがとうございます。

記事を気に入っていただけたらLike❤あるいはコメントをいただけると励みになります。

質問も募集しております。

匿名で質問する

では、また次回もよろしくお願いします！

Comments

[Lawrence]

セフルGOXはきつすぎますね。。。自分も気をつけようと思いました。解説ありがとうございます。