MonappyにおけるMonacoinの不正出金につきまして

IndieSquare
5 min readSep 3, 2018

--

弊社にて運営の引継ぎを行っておりましたMonacoinウォレットサービス「Monappy」にて、ホットウォレットに保管されていた全てのMonacoinが不正に出金されるという事態が発生しました。
(ウォレット全残高の54.2%を保管しているコールドウォレット内のMonacoinについては不正出金はありませんでした。)

利用者及び関係者の皆様には多大なご心配とご不安を与えておりまして大変申し訳ございません。

発覚の経緯

2018年9月1日午前11時
今回とは別件の攻撃に関する注意喚起を受けたのを期に改めて調査したところ、サーバ上にあるホットウォレットの残高が利用者の残高に対して不足していることを確認しました。この件を受けてすぐにサーバを切断し確認作業を行っておりましたが、調査の結果ホットウォレット内のすべてのMonacoinが不正に出金されていることが判明しました。
2018年9月2日午前1時
検証の結果、原因は高負荷時におけるギフトコード機能の不備を利用した悪意ある攻撃によるものという結論に至りました。

(なお、この件につきましてメールアドレスやパスワードなどユーザー情報などの流出は確認されておりません)

攻撃の経緯

2018年8月27日から2018年9月1日にかけて、攻撃者と見られる複数のユーザー(同一人物の可能性があります)がギフトコードを大量に発行。同8月29日から9月1日にかけて外部受け取り機能(ログインせずにギフトコードを受け取れる機能)を利用してギフトコードを受け取る際、高い頻度でリクエストを行うことで一つのギフトコードに対し複数回の送金が行われてしまい、今回の攻撃に至りました。

詳細
MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、取引をロールバックする仕様となっていました。また、ギフトコードの処理に関してはデータベースのトランザクション機能等を利用しており、本来同じギフトコードを二重に使用することはできないようになっていました。しかし、高負荷状態でギフトコードを連続して使用しようとした場合、通信を受け取ったmonacoindの応答に時間がかかり、サイト側ではタイムアウトとなってロールバックされたあとにmonacoind側では送金が行われていました。この結果、一つのギフトコードから複数回送金されたものと考えられます。また、この攻撃に際し少額のMonacoinを大量に送付しておくことでcoind送信時の負荷を増大させようとする試みも確認しました。

また、弊社が把握しております犯行における出金額、時間、TXID、アドレスは下記となります。

https://docs.google.com/spreadsheets/d/1ex1kpiDECWXDNlL3UztcYgZvhxsEvbeZ89tB-EtlRto

今後追加される可能性があります、また出金元アドレスはMonappyの仕様上攻撃者のアドレスとは限りません。

原因

上記の通り、悪意ある人間のギフトコード機能を悪用した攻撃が直接の原因となります。また、攻撃を許したことについてはモニタリング体制の不備、テストや確認の不備などが根本的な要因と認識しております。

影響範囲

Monappyに残高をお持ちの全利用者様が対象となります。

今後の対応

不足残高の補填に関しましては引継ぎの最中であったことから旧運営者側とも協議し利用者の方々の救済を第一優先として、旧運営者側の自己資本を持って全額を補填に充てることと致しました。本件の原因箇所の修正と検証ののち、機能を制限した上で可及的速やかに出金処理が出来ますよう再開致します。

補償の方針

総額: 93078.7316 mona
人数: 7735人

全員の残高不足分をMonacoinで補填致します。補償時期、方法の詳細に関しましては現在検討中ですので、決まり次第速やかにご報告致します。

Monappyの今後について

多くの方々に愛される本サービスでこのような事態となりましたこと、利用者の方々へ深くお詫び申し上げます。然るべき対策、対応を行いましてサービス再開を目指して参ります。再開の時期に関しましては検討中ですので、決まり次第速やかにご報告致します。

ご注意のお願い

・本件の対応を理由に、弊社及びMonappyからメール・電話・郵便等でメールアドレスやパスワードなどをお伺いすることはありません。
・本件に関するメールにファイルを添付してお送りすることはありませんので、そのようなメールがあっても決して添付ファイルを開かないで下さい。
・monappy.jp以外のドメインにてmonappyのメールアドレスやパスワードを入力させることはありません。不審なメールなどには十分ご注意いただくようお願いいたします。

今回の件につきまして利用者及び関係者の方々には多大なご迷惑をお掛けし深くお詫び申し上げます。運用、セキュリティ体制を見直し、Monappyのサービスの再開、信頼回復に努めて参りますので、引き続き宜しくお願い申し上げます。

本件に関する連絡先

Monappyサポート

support@monappy.jp

--

--

IndieSquare

Official blog for all things relating to IndieSquare, Bitcoin, Counterparty and the token economy.