IndieSquare

Sep 3, 2018

5 min read

MonappyにおけるMonacoinの不正出金につきまして

弊社にて運営の引継ぎを行っておりましたMonacoinウォレットサービス「Monappy」にて、ホットウォレットに保管されていた全てのMonacoinが不正に出金されるという事態が発生しました。
(ウォレット全残高の54.2%を保管しているコールドウォレット内のMonacoinについては不正出金はありませんでした。)

利用者及び関係者の皆様には多大なご心配とご不安を与えておりまして大変申し訳ございません。

発覚の経緯

(なお、この件につきましてメールアドレスやパスワードなどユーザー情報などの流出は確認されておりません)

攻撃の経緯

詳細
MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、取引をロールバックする仕様となっていました。また、ギフトコードの処理に関してはデータベースのトランザクション機能等を利用しており、本来同じギフトコードを二重に使用することはできないようになっていました。しかし、高負荷状態でギフトコードを連続して使用しようとした場合、通信を受け取ったmonacoindの応答に時間がかかり、サイト側ではタイムアウトとなってロールバックされたあとにmonacoind側では送金が行われていました。この結果、一つのギフトコードから複数回送金されたものと考えられます。また、この攻撃に際し少額のMonacoinを大量に送付しておくことでcoind送信時の負荷を増大させようとする試みも確認しました。

また、弊社が把握しております犯行における出金額、時間、TXID、アドレスは下記となります。

https://docs.google.com/spreadsheets/d/1ex1kpiDECWXDNlL3UztcYgZvhxsEvbeZ89tB-EtlRto

今後追加される可能性があります、また出金元アドレスはMonappyの仕様上攻撃者のアドレスとは限りません。

原因

影響範囲

今後の対応

補償の方針

全員の残高不足分をMonacoinで補填致します。補償時期、方法の詳細に関しましては現在検討中ですので、決まり次第速やかにご報告致します。

Monappyの今後について

ご注意のお願い

今回の件につきまして利用者及び関係者の方々には多大なご迷惑をお掛けし深くお詫び申し上げます。運用、セキュリティ体制を見直し、Monappyのサービスの再開、信頼回復に努めて参りますので、引き続き宜しくお願い申し上げます。

本件に関する連絡先

Monappyサポート

support@monappy.jp

--

--

More from IndieSquare

Official blog for all things relating to IndieSquare, Bitcoin, Counterparty and the token economy.

AboutHelpTermsPrivacy

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
IndieSquare

IndieSquare

124 Followers

Official blog for all things relating to IndieSquare, Bitcoin, Counterparty and the token economy.

Help

Status

Writers

Blog

Careers

Privacy

Terms

About

Text to speech