XRP Ledger（XRPL）で、認証確認の手続きを装った詐欺により、XRP保有者が約1万4600XRPを失う被害が発生した。攻撃者は正規の確認手続きに見える文言と高い報酬をうたい、送金を促したとみられる。

ブロックチェーンメディアのU.Todayが6月22日（現地時間）に報じたところによると、被害者は偽の認証メッセージを信じ、1万4646XRPを送金した。被害額は約1万6800ドルに上るという。

発端となったのは、正規の確認依頼に見えるメッセージだった。被害者は未確認のウォレットアドレスにXRPを送金し、取引メモには「Safe XRPL verify message」と記されていた。

この文言は安全な認証手続きの一部であるかのように見えるが、実際には警戒心を和らげるための偽装だったとされる。

受取先のウォレットアドレスは、すでにXRPLのエクスプローラー上で詐欺ウォレットとして表示されていた。それでも被害者はメッセージを信用して送金し、取引完了時には資金の大半がすでに引き出されており、回収は困難になった。

調査を行うアカウントによると、攻撃者は月10％の収益が得られると持ちかけ、早急な対応を促していたという。報酬を受け取るために必要な確認作業だと説明し、取引の真偽を改めて確かめる余地を与えなかったとの見方を示している。

今回の事例は、単純なフィッシングにとどまらず、信頼感を与える文言と緊急性を組み合わせた典型的なソーシャルエンジニアリングの手口とみられている。攻撃者は安全性や公式性を想起させる表現で正規の手続きと誤認させ、被害者はそれを認証プロセスの一部として受け止めた可能性が高い。

専門家は、XRPL上のメッセージや取引メモの文面だけで取引の正当性を判断すべきではないと警告する。とりわけ、報酬を得るために先に送金を求めるケースや、即時対応を迫るケースでは、まず詐欺の可能性を疑うべきだと強調した。

送金前には、相手先のウォレットアドレスが公的機関や検証済みサービスにひも付いたものかを必ず確認する必要がある。いったん詐欺ウォレットに送金した資金は、ブロックチェーンの特性上、事実上取り戻せないためだ。

今回の事件は、複雑なハッキング技術ではなく、報酬の約束と認証手続きの偽装を組み合わせたソーシャルエンジニアリングが、なお有効に機能していることを示した。XRPコミュニティでは、同様の手口への警戒を強める必要がある。