#EthereumWarnsonAddressPoisoning

$50M USDTのフィッシング事件は、類似のEthereumアドレスによって引き起こされ、単純なユーザーエラーを超えた暗号セキュリティの体系的な問題を露呈しました：切り詰められたウォレットアドレスは敵対的な環境では本質的に安全ではなく、エコシステムはこの危険な慣行に長い間依存してきました。ほとんどのウォレットはアドレスの最初の数文字と最後の数文字のみを表示するため、ユーザーは可視部分を確認するだけで十分だと暗黙のうちに訓練されています。攻撃者は、同じ接頭辞と接尾辞を共有しながら、隠された中間部分だけが異なるアドレスを生成することで、この予測可能性を利用します。この作業は計算上安価であり、大規模に実行可能です。このような類似アドレスがワークフローに導入されると、侵害されたメッセージ、フィッシングリンク、コピーされた取引履歴、または悪意のある修正された連絡先リストを通じて、ウォレットのUIは通常、宛先が間違っているという意味のある信号をユーザーに提供しません。一度のクリックで何百万ドルも取り消し不能に移動させることができます。これにより、危険な認知の罠が生まれます：ユーザーは合理的に検査できない長い16進数の文字列を検証することが期待され、インターフェースは攻撃者が利用する方法を知っているショートカットを積極的に促します。ほとんどの人々は完全なアドレスを確認しませんが、それは怠慢からではなく、ツール自体が部分的な検証を標準化し、便利さ、ミニマリズム、または可読性を最適化しているためです。これらの事件を防ぐには、ウォレットのUXとセキュリティを根本的に再考する必要があります：完全なアドレスはデフォルトで表示されるべきであり、コピーまたは選択されたアドレスは違いを明確にハイライトして視覚的に比較されるべきです。新しい宛先または以前使用したアドレスに非常に似ている場合、ウォレットはユーザーに警告を出すべきであり、保存された連絡先は静かに変更や置換から保護されるべきです。ENSのような人間が読みやすい命名システムは役立ちますが、名前が信頼できるチャネルを通じて検証され、解決されたアドレスが名前と並んで明確に表示される場合に限ります。これらの保護策が広く実装されるまで、ユーザー、DAO、および財務管理者は、すべての新しい受取人に対して少なくとも一度は完全なアドレスを手動で確認し、安全なアウトオブバンドの通信チャネルを通じて送金を確認し、高額な送金のためにテスト取引を実行し、財務または組織のウォレットに対して複数人の承認ポリシーを強制するなど、厳格な運用規律を採用する必要があります。これらの即時のステップを越えて、この事件はEthereumエコシステムと暗号全般へのより広範な教訓を浮き彫りにしています：便利さを優先するUXの決定は予測可能な攻撃ベクトルを生み出す可能性があり、リスクは今や高くなり、かつて受け入れられていたデザインの選択肢が積極的に危険です。これはエッジケースではなく、単なる「ユーザーエラー」の問題でもありません；これは、知的で動機づけられた攻撃者を考慮しないデザインパターンの予見可能な結果です。教訓は明確であいまいさがありません：完全なアドレスが検証されていない場合、その取引は決して真に検証されていません。エコシステムは、アドレスの表示と検証を装飾的なUI要素ではなく、重要なセキュリティサーフェスとして扱わなければなりません。この現実にウォレット、命名システム、および運用慣行が一致するまで、類似のアドレスを悪用したフィッシング攻撃は暗号における最も効率的で壊滅的な盗難の形態の1つとして残り、高額なユーザーや組織は、ウォレットが現在強制できていない慣行に対して責任を負わなければなりません。