仮想通貨で90%以上の暴落を味わった猫のブログ

初心者向けの仮想通貨ブログです。2016年8月に参入。暴騰や暴落を経験し、その将来性やリスク、ニュース等について記事を書いています。

Monappyのモナコイン盗難も被害者へ全額補償!なぜ流出したの?

f:id:moneygamex:20180523132749p:plain

かにたまです。

9月1日、モナコイン(Monacoin)のウォレットサービスである「Monappy」のモナコインが盗難された事件が起こり、現在、閉鎖中になっています。

Monappyのモナコイン盗難の経緯

 

f:id:moneygamex:20180904104952j:plain

昨日の2018年9月4日段階で「Monappy」のホームページ上は上画面のように表示され、サービスが一時停止となっていました。

 

モナコイン盗難の経緯の詳細は「こちら」をご覧下さい。

 

 

Monappyのモナコインが盗難された原因

「Monappy」にて、ホットウォレット(※)でモナコインを管理していたからです。ホットウォレットとはインターネットに繋がっている財布のことで犯人にアクセスされるとハッキングされるからです。

※ウォレット全残高の54.2%を保管しているコールドウォレット内のモナコインについては不正出金はありませんでした。

 

どうやって盗難したの?ということですが、検証の結果、原因は高負荷時におけるギフトコード機能の不備を利用した悪意ある攻撃によるものということです。

 

2018年8月27日から2018年9月1日にかけて、攻撃者と見られる複数のユーザー(同一人物の可能性があります)がギフトコードを大量に発行。

同8月29日から9月1日にかけて外部受け取り機能(ログインせずにギフトコードを受け取れる機能)を利用してギフトコードを受け取る際、高い頻度でリクエストを行うことで一つのギフトコードに対し複数回の送金が行われてしまったとのことです。

(なお、この件につきましてメールアドレスやパスワードなどユーザー情報などの流出は確認されておりません)

詳細は「こちら

 

 

なぜ仮想通貨をホットウォレットで管理しているのか?

コインチェック流出事件しかり、今回の事件といい、なぜホットウォレットでモナコインの暗号通貨を管理しているのでしょうか?

 

それは仮想通貨は電子データのやりとりであり、売買や移動の際、必ずネットに繋ぐ必要があり、コールドウォレットからホットウォレットに移動させる手間が面倒なのでそのままホットウォレットで管理しているのです。

 

電子のデータであるために売買や送金の際は必ずネットに繋ぐ必要があり、繋いでる間は、当然ハッキングされるリスクがあります。

 

 

被害状況は?

・対象者は7735人

・総額93078.7316MONA(1MONA=160円換算で1489万2597円相当)

・メールアドレスやパスワードなどユーザー情報などの流出は確認していない

 

 

盗難の被害者全員に全額補償へ

Monappyの運営は、今後はIndieSquareさんが引継ぐことが決定しています。(現在は引継ぎの最中のようです。)

 

prtimes.jp

IndieSquareは、「くりぷ豚」というブロックチェーンゲームを配信中です。

 

 不足残高の補填に関しましては引継ぎの最中であったことから旧運営者側とも協議し利用者の方々の救済を第一優先として、旧運営者側の自己資本を持って全額を補填に充てることと致しました。本件の原因箇所の修正と検証ののち、機能を制限した上で可及的速やかに出金処理が出来ますよう再開致します。

 モナコインが盗難された被害者全員に全額補償される予定とのことです。

 

 

犯人は18歳の少年、逮捕される

2019年3月14日にMonappyのモナコインを盗難した犯人が逮捕されました。

宇都宮に住んでいた18歳の少年ということです。

 

盗難した手法としては、更新ボタン連打でサーバーに高い負荷をかけて誤作動を起こすというサイトの脆弱(ぜいじゃく)性を突いた犯行です。

 

「F5(更新)アタック」といわれている手法ですね。

 

 

なお、逮捕されたのかというとブロックチェーン上に記録が残っていたからです。

 

 

 

f:id:moneygamex:20190315190626j:plain

 Group-IBより

また、交換業者「コインチェック」で約580億円相当の仮想通貨NEM(ネム)が盗まれたのも北朝鮮のグループによる仕業だと発表されました。

 

では、なぜ逮捕にこれだけ時間がかかるのかといいますと、犯人は馬鹿ではないので口座を何万も分散させたり、追跡しにくく工夫しているからです。

 

人為的なもので何十万もの口座を見るのは、どれだけ大変かはわかると思います。

それゆえに時間がかかるのです。

 

 

最後に

モナコインは2018年5月13~15日にもセルフィッシュ・マイニング攻撃(Block withholding attack)を受け、被害額は推定9万ドル(990万円)に及びました。

 

モナコインは現状では仮想通貨取引が盛んな国である日本の国産通貨として最も有名な通貨であり、何かと狙われやすいようです。

手間はあるものの、やはり、仮想通貨は長期保有するのであれば自分で管理するに越したことはありません。

 

それにしても管理会社は手間からマウントゴックスしかり、コインチェックの流出事件から何も学んでおらず流出事件が続いていますね。

仮想通貨を管理するのであれば、セキュリティには力を入れて欲しいところです。