やばい、現代の錬金術を発明してしまった…
三時間で上限MAXの100万円貯めれたんだけど。あと二週間くらい対策されないでほしいお pic.twitter.com/BxCu1iSZKV— やっくん@社畜 (@yasuuu0804) 2018年9月2日
日: 2018年9月2日
【緊急速報】モナコインの盗難が起きる前、2chにこんな書き込みがあったんだが・・・ #仮想通貨 $MONA
674承認済み名無しさん2018/08/31(金) 14:37:24.59ID:cuYf3FF5
MMQ618AoG6za5fErcbLTqn7gSBhBGVt16r
ってなにものなんだ
なんで事件の前日に盗まれたコインが最初に集められたアドレスを書き込んでるんだよ
MMQ618AoG6za5fErcbLTqn7gSBhBGVt16r
が何かしら絡んでるのはほぼ確定っぽいhttps://t.co/Md03VfOD8D#Monappy $MONA pic.twitter.com/tcNElYyJ8i— グリ@python&暗号通貨(XRP) (@GuriTech) 2018年9月2日
※時系列
盗難事件のあったモナコイン、ザイフで狼狽売りっぽいのが出てますね pic.twitter.com/ktTe1v6bDA
— 高城泰 (@takagifx) 2018年9月1日
【緊急速報】5000枚近くものビットコインを購入した超大型クジラが登場との情報・・・ #仮想通貨 $BTC
Bitfinex、ショート激増。さらに7320地点で、この強烈なショート全部を、レバレッジ無しで隠れ買いしている恐怖の存在がいる模様。 pic.twitter.com/MCZ0Pc7HBi
— 仮想通貨新聞 (@kasou_shinbun) 2018年9月2日
※関連記事↓
【緊急速報】ビットコイン、価格上昇もショートが激増!!! ついに来るのか!? #仮想通貨 $BTC https://t.co/WJxHvHIZge
— 仮想通貨まとめ速報 (@ka_soku_tw) 2018年9月2日
【愕然】今回モナコインが盗まれた原因・・・ #仮想通貨 $MONA
timeout検知してキャンセルする処理を実装してないのを狙われました
ってこと?
しょぼっ
2. 攻撃の経緯
2018年8月27日から2018年9月1日にかけて、攻撃者と見られる複数のユーザーがギフトコードを大量に発行しました。
同8月29日から9月1日にかけて外部受け取り機能(ログインせずにギフトコードを受け取れる機能)を利用してギフトコードを受け取る際、高い頻度でリクエストを行うことで一つのギフトコードに対し数回の送金が行われてしまい、今回の攻撃に至りました。
MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、取引をロールバックする仕様となっていました。
また、ギフトコードの処理に関してはデータベースのトランザクション機能等を利用しており、本来同じギフトコードを二重に使用することはできないようになっていました。
しかし、高負荷状態でギフトコードを連続して使用しようとした場合、通信を受け取ったmonacoindの応答に時間がかかり、サイト側ではタイムアウトとなってロールバックされたあとにmonacoind側では送金が行われていました。
この結果、一つのギフトコードから複数回送金されたものと考えられます。
また、この攻撃に際し少額のMonacoinを大量に送付しておくことでcoind送信時の負荷を増大させようとする試みも確認しました。
現時点で推測される攻撃の流れについては上記の通りです。今後も引き続き調査を進めて参ります。
3. 原因
上記の通り、悪意あるユーザのギフトコード機能を悪用した攻撃が直接の原因となります。
また、当方の平時のモニタリング体制の不備、テストや確認の不備などが根本的な要因と認識しております。
(※中略、全文はソース元へ)
【緊急速報】ビットコイン、価格上昇もショートが激増!!! ついに来るのか!? #仮想通貨 $BTC
現物アフォみたいに買ってるやつがいる