最近、マルチシグウォレットとして広く使われているSafeを悪用した、従来とは性質の異なるアドレスポイズニング攻撃が確認されました。Safe公式からも注意喚起が出ていますが、この件を単なる詐欺事例や人的ミスの延長として処理してしまうと、今回の本質は見えてきません。

まず整理しておくと、この事案はプロトコルの不具合でも、インフラへの侵害でも、スマートコントラクトの脆弱性でもありません。Safeの設計や、ブロックチェーンの仕組み自体は、技術的に見て正しく機能しています。既存のセキュリティ前提が破られたわけではない、という点は重要です。

今回のポイントはそこではありません。

本質は、Safeが正しく設計されていることを前提に、アドレスポイズニングをスケールさせた点にあります。攻撃者はSafeを壊したのではなく、正規のSafeを大量に生成することで、「間違えやすい送金先」を組織的に作り出しました。人的ミスを狙う手法そのものを、構造として拡張した、というのが今回の特徴です。