初心者の初心者による初心者のための仮想通貨のお話

GO! GO! Bitcoin

モナコイン

モナッピー monappy モナコイン盗難被害 その手口は? チャートは? 調べてみました

投稿日:

ikeです。

今回はmonappy(以下モナッピー)のモナコイン盗難被害にあうというニュースについて、速報で記事にしたいと思います。

モナッピーとは?

モナッピー公式ホームページ:http://monappy.jp/index.html

(今回の被害を受け、9月2日16時現在、テキスト表示のみとなっています。)

Monacoin対応のオンラインウォレットサイトです。
メールアドレスとパスワードだけで、誰でも簡単にMonacoinウォレットを作成することができました。

(2018年9月2日16時現在、ウォレット表示停止中)

又、単なるウォレットとしての機能だけでは無く、モナッピーではネット通販サービス「(payment)ペイメント」を利用して、様々な商品を売り出すことが出来るようになっています。

勿論、支払いはモナコインで支払う事ができます。

食料、衣料やギフトカードなど多種にわたって出品することができます。

他にも例えば、似顔絵やイラストなどのデザイン委託や仕事募集内容まで出品しています。

1ヶ月前に譲渡契約が済んだばかりだった

そんなモナッピーですが、一時閉鎖の噂が流れていました。

経営がうまくいかなかったのか、興味深い事に、モナッピー内で自社の「Monappy及びtipmonaの運営開発事業」を販売していました。なんか、凄いですよね。

運営の譲渡先が決まらなかった場合は、2018年7月31日にサービスを終了、全てのコンテンツが停止となる予定でしたが、7月18日に譲渡が決定!停止を免れたばかりでした。

その時の公式発表には

Monappyは本日、株式会社IndieSquare様への譲渡契約が結ばれ、以降株式会社IndieSquareの運営となる事が決定いたしました。告知されていた7月31日の閉鎖は取りやめとなり運営継続となります!

としています。

譲渡から盗難被害に遭うまでの時系列を追ってみた

そして、譲渡に伴ってなのか、

7月16日 1時間程度メンテナンス

7月17日 1時間ほど入出金停止(メンテナンス)

この2日間にシステムの移行が旨くいかなかったのか、送金に失敗する事象が発生したり、データの再読み込み時に高負荷がかかってエラーが出ていると発表していました。

そして、

9月1日 技術的問題発生の為、モナッピーの機能を停止しますとアナウンス

9月1日 モナッピーへの攻撃があり、ほっとウォレットに保管していたモナコインのほぼ全てが盗難にあったと発表

AM6時半過ぎ block withholding attack(巻き戻し攻撃)による可能性をお知らせに掲載

AM7時半過ぎ block withholding attackによる攻撃では無いかもしれない。現在調査中と掲載

AM11時過ぎ block withholding attackの可能性は無いと考えられると掲載

2018年9月2日午前1時、検証の結果攻撃に至った原因が高負荷時におけるギフトコード機能の不備であることを確認できたと発表。

経緯も発表されていますので、一部抜粋させていただきます。

2018年8月27日から2018年9月1日にかけて、攻撃者と見られる複数のユーザーがギフトコードを大量に発行しました。
同8月29日から9月1日にかけて外部受け取り機能(ログインせずにギフトコードを受け取れる機能)を利用してギフトコードを受け取る際、高い頻度でリクエストを行うことで一つのギフトコードに対し数回の送金が行われてしまい、今回の攻撃に至りました。

MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、取引をロールバックする仕様となっていました。
また、ギフトコードの処理に関してはデータベースのトランザクション機能等を利用しており、本来同じギフトコードを二重に使用することはできないようになっていました。
しかし、高負荷状態でギフトコードを連続して使用しようとした場合、通信を受け取ったmonacoindの応答に時間がかかり、サイト側ではタイムアウトとなってロールバックされたあとにmonacoind側では送金が行われていました。
この結果、一つのギフトコードから複数回送金されたものと考えられます。
また、この攻撃に際し少額のMonacoinを大量に送付しておくことでcoind送信時の負荷を増大させようとする試みも確認しました。

上記の説明をできるだけかみ砕いてみますと、

通常ですとモナコインをギフトとして送ることができるコードは1度しか使えない仕組みにしていましたが、データベースに負担をかけて、重くしてパソコンの処理能力をかなり鈍らせ、1つのギフトコードを何度も送金に使うことができてしまった。つまり1度目の送金処理が終わる前に同じコードで複数回送金処理をさせる事が可能な状態になっていた。という事です。。。

ちなみにメールアドレスやパスワードなどユーザー情報などの流出は確認されておりません。と発表もしていますが、ユーザーにとっては不安ですよね。

ご利用されていた方はパスワードの変更を行うことを強くおすすめします。

今日のチャート

モナコインの本日(2018年9月2日)のチャートです。

まぁ、下がりますよね。。。。

今となっては譲渡して直後のメンテナンスでのサーバー高負荷のためっていうメンテナンスの時も何かあったのか?と勘ぐってしまいます。

今後の動向もしっかりチェックして続報がありましたら記事にしたいと思います。

今回の記事は以上です。

最後までお読み頂き有難うございました。

 

 

 

-モナコイン

Copyright© GO! GO! Bitcoin , 2019 All Rights Reserved Powered by STINGER.

%d人のブロガーが「いいね」をつけました。