Monappy(モナッピー)からモナコイン流出、ギフトコード乱発が手口か

hacker-2300772_1920

Monappyからモナコインが流出、計画的な犯行か…

2018年9月1日、仮想通貨ウォレットサービスの「Monappy(モナッピー)」から、モナコイン(Monacoin)が流出したことがわかりました。調査の結果、流出したのはホットウォレットに保管してあったすべてのモナコインであることも判明しています。

Monappyを運営していたのはIndieSquareは運営引き継ぎの真っ最中で、今回の流出もその間を狙った計画的な犯行であるとされています。

今回はそんなMonappyの流出問題や、その犯行の手口についてご紹介します。

犯行の手口が明らかに…!ギフトコードの乱発で奪取か

今回の事件に関してはIndieSquare社が事態をかなり早い段階で把握しています。事件の経緯や今後の発表についてもすでに公式の発表があります。

その発表によれば攻撃の経緯(犯行の手口)は以下のようになります。

攻撃の経緯

2018年8月27日から2018年9月1日にかけて、攻撃者と見られる複数のユーザー(同一人物の可能性があります)がギフトコードを大量に発行。同8月29日から9月1日にかけて外部受け取り機能(ログインせずにギフトコードを受け取れる機能)を利用してギフトコードを受け取る際、高い頻度でリクエストを行うことで一つのギフトコードに対し複数回の送金が行われてしまい、今回の攻撃に至りました。

つまり、「ギフトコードの乱発」というのが犯行の手口のようです。乱発によってシステムに不具合が発生し、1つのギフトコードでいくつものモナコインが引き出せてしまったということになります…。

高負荷でロールバックは上手く機能せず…

hacking-2903156_1920

当たり前のことではありますが、普通は1つのギフトコードを何度も繰り返し使うことはできません。しかし、これをかいくぐる方法があったようです。

詳細
MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、取引をロールバックする仕様となっていました。また、ギフトコードの処理に関してはデータベースのトランザクション機能等を利用しており、本来同じギフトコードを二重に使用することはできないようになっていました。しかし、高負荷状態でギフトコードを連続して使用しようとした場合、通信を受け取ったmonacoindの応答に時間がかかり、サイト側ではタイムアウトとなってロールバックされたあとにmonacoind側では送金が行われていました。

こうした攻撃の前には少額のモナコインを大量に送金しておき、サーバーに負荷をかけるように準備していた動きもあったようです。

Monappyが過渡期にあるなかでの犯行、綿密に準備された計画的犯行には遺憾の意を感じぜずにはいられません…。

補填は決定済み!Monappyの素早い対応に脱帽

今回の事件はMonappyにとっても、モナコインにとってもかなり大きなダメージであることは間違いありません。2016年12月~2017年12月の1年間で600倍にもなった(3円→1800円)というモナコインの価格も、今回の事件で急落の動きがみられます。

しかし、事態の把握が早かったことは評価すべきでしょう。さらには補填についても決定が下されています。

今後の対応

不足残高の補填に関しましては引継ぎの最中であったことから旧運営者側とも協議し利用者の方々の救済を第一優先として、旧運営者側の自己資本を持って全額を補填に充てることと致しました。本件の原因箇所の修正と検証ののち、機能を制限した上で可及的速やかに出金処理が出来ますよう再開致します。

補償の方針

総額: 93078.7316 mona
人数: 7735人

全員の残高不足分をMonacoinで補填致します。補償時期、方法の詳細に関しましては現在検討中ですので、決まり次第速やかにご報告致します。

インターネットを愛する多くのユーザーに支持されてきたモナコイン、そしてMonappy。

事件の全容解明と犯人の確保を願わずにはいられません…。

    関連記事

    1. 虫めがね

      GMOコイン取引所サービスがリリース!他にはない魅力に迫る

    2. セキュリティ担当の男性

      仮想通貨取引所は、どのようなのウォレットで、どのような管理体制で、仮想通貨を管理しているのか?

    3. crypko

      世界に1つ、クリプコ(Crypko)で美少女キャラを生成!

    4. ベネズエラのテーブルマウンテン

      ベネズエラ政府の仮想通貨ペトロ、ハイパーインフレ無理矢理脱却へ?

    5. 手のひらの上のお金

      仮想通貨のためのスマホ「FINNEY」、日本上陸で期待高まる

    6. 虫めがね

      迫る仮想通貨の確定申告、2018年度分から簡素化された点とは?