暗号資産ウォレットプロバイダーのMetaMask(メタマスク)は、イーサリアムのMEV(最大抽出価値)ボット「Jaredfromsubway」を揶揄するオンチェーンメッセージについて、自社が送信したものではないと公式に否定しました。この混乱は、大文字と小文字の違いを利用した類似のENS(Ethereum Name Service)名が原因で発生したとされています。本件は、Web3プラットフォームにおけるENS名の表示方法に構造的な課題があることを浮き爆りにしました。
事件の背景と揶揄メッセージの拡散
イーサリアム上で活発に活動するMEVボットのオペレーターである「jaredfromsubway.eth」は、ハニーポット攻撃(攻撃者を罠にかける手法)によって多額の資金を失ったとされています。Jaredfromsubway側は攻撃者に対し、資金の半分をホワイトハット報酬(善意のハッカーへの報酬)として受け取ることを条件に、残りの返還を求める提案を行っていました。返還に応じない場合は法的措置を講じると警告していましたが、この警告を揶揄し、訴訟が法廷で通用しないと主張するメッセージがオンチェーン上で送信されました。
このメッセージが「MetaMask.eth」という名前から送信されていたため、MetaMask公式による発言ではないかとしてSNS上で広く拡散される事態となりました。
ENS名の表示仕様が招いた「なりすまし」の仕組み
MetaMaskは公式X(旧Twitter)においてこのメッセージへの関与を否定し、メッセージは同社とは無関係の第三者が保有するアカウントから送信されたものであると説明しました。
この誤解が生じた要因として、ENS名の表示に関するプラットフォーム側の仕様が挙げられています。多くのプラットフォームでは、ENSハンドルを表示する際に大文字と小文字を区別せず、すべて小文字に変換して表示する慣習があります。
公式のENS名はすべて小文字の「metamask.eth」であるのに対し、今回のメッセージを送信したアカウントは、大文字を含む「MetaMask.eth」でした。これらはオンチェーン上では全く異なるアドレスに紐づいていますが、プラットフォーム上での表示が小文字に統一されたことで、ユーザーが公式からのメッセージであると誤認する結果を招いたとされています。
Web3業界における表示仕様とセキュリティの課題
今回の事例は、ブロックチェーン技術自体の脆弱性ではなく、ユーザーが目にするフロントエンドや表示仕様の隙を突いた「なりすまし」のリスクを示しています。
ENSなどのドメインサービスはWeb3におけるアイデンティティとして広く活用されていますが、プラットフォームごとの表示ルールの不一致が、企業のブランド毀損やユーザーの混乱につながる可能性があります。Web3ビジネスを展開する事業者にとって、表示仕様の標準化やセキュリティ対策の重要性を再認識させる出来事となりました。
ポイント
- MetaMaskは、MEVボット「jaredfromsubway.eth」の資金流出を揶揄するオンチェーンメッセージの送信を公式に否定しました。
- 混乱の原因は、公式の「metamask.eth」に類似した大文字を含む「MetaMask.eth」を使用する第三者によるなりすましメッセージでした。
- 多くのWeb3プラットフォームがENS名を表示する際にすべて小文字に変換する仕様を採用しているため、ユーザーの誤認を招いたとされています。
- 被害に遭った「jaredfromsubway.eth」は、イーサリアム上で活発にサンドイッチ攻撃を行うMEVボットであり、直前にハニーポット攻撃を受けていました。
- 本事案は、Web3プラットフォームにおけるENS名の表示方法に構造的なセキュリティ課題が存在することを示す事例として注目されます。