【悲報】モナッピー盗難事件~モナコイン盗られちゃう~

【悲報】モナッピー盗難事件~モナコイン盗られちゃう~
Pocket

会社で急な人員の欠如などがあり

やっと仕事を終えて一息ついて

Twitterを覗くとなんと

驚きの事件が起こってました。

 

【モナッピーからモナコイン盗難!】

 

まじか?!

前回のモナコイン巻き戻しの再来?

 

ハッシュ数(承認)上げて

対策したはずじゃん?!

ガーン!これはPOWの大問題じゃん!

と思いきや、モナッピー側から

以下回答文が出てました。

1. 発覚の経緯
2018年9月1日午前11時、今回とは別件の攻撃に関する注意喚起を受けたのを期に改めて調査したところ、サーバ上にあるホットウォレットがユーザの残高に対して不足していることを確認しました。
この件を受けてすぐにサーバを切断し確認作業を行っておりましたが、調査の結果ほぼすべてのMonacoinが盗難されていることが判明しました。
2018年9月2日午前1時、検証の結果攻撃に至った原因が高負荷時におけるギフトコード機能の不備であることを確認いたしました。

従来よりセキュリティ対策としてサーバへのアクセス制限、各種の脆弱性テストなどを実施しておりましたが、今回の攻撃を許してしまう結果となってしまいました。誠に申し訳ございません。
現在も攻撃の内容について調査を行っております。

なお、この件につきましてメールアドレスやパスワードなどユーザー情報などの流出は確認されておりません。


2. 攻撃の経緯
2018年8月27日から2018年9月1日にかけて、攻撃者と見られる複数のユーザーがギフトコードを大量に発行しました。
同8月29日から9月1日にかけて外部受け取り機能(ログインせずにギフトコードを受け取れる機能)を利用してギフトコードを受け取る際、高い頻度でリクエストを行うことで一つのギフトコードに対し数回の送金が行われてしまい、今回の攻撃に至りました。

MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、取引をロールバックする仕様となっていました。
また、ギフトコードの処理に関してはデータベースのトランザクション機能等を利用しており、本来同じギフトコードを二重に使用することはできないようになっていました。
しかし、高負荷状態でギフトコードを連続して使用しようとした場合、通信を受け取ったmonacoindの応答に時間がかかり、サイト側ではタイムアウトとなってロールバックされたあとにmonacoind側では送金が行われていました。
この結果、一つのギフトコードから複数回送金されたものと考えられます。
また、この攻撃に際し少額のMonacoinを大量に送付しておくことでcoind送信時の負荷を増大させようとする試みも確認しました。

現時点で推測される攻撃の流れについては上記の通りです。今後も引き続き調査を進めて参ります。


3. 原因
上記の通り、悪意あるユーザのギフトコード機能を悪用した攻撃が直接の原因となります。
また、当方の平時のモニタリング体制の不備、テストや確認の不備などが根本的な要因と認識しております。

———————————————

おいおい!

モナコインに非はないじゃん!

モナッピー側のギフトコードの

脆弱性を突いた不正送金のようでした。

 

だから、結果的にPoWの根幹を

揺るがす大事件ではありませんでした。

ともかく以前からウォレットは

分散しようね。

と言うのは常々言ってますので

人生と同じでリスク対策は

しっかり考えましょうね!と言うお話。

 

モナコイナーの絆も見れて

やはりモナコインは面白い!

と改めて思いました。

☆動画はこちら♪

https://youtu.be/5ZT-2Yi3pDw

【追記】

今回の件でモナコイナーとの

絆のような物が垣間見れました。

 

良いときは皆いい感じで

寄ってきますが、

こういう一見マイナスな時こそ

(今回はモナコイン自体に

攻撃を受けた訳じゃないので)

モナコイナーの真価が問われます。

 

そして何より、モナッピーの運営を

譲渡されたインディースクエアさんを

私は信じてます。

心ある企業だと思ってます。

これからもモナッピー使い続けます。

https://youtu.be/Vhc4_DxoG8M

Monacoinを投げる
モナゲ(tipmona)ってなに?
そもそもMonacoinってなに?

コラムカテゴリの最新記事