Monappyでモナコイン(MONA)ハッキング被害、サイトの脆弱性を利用した攻撃と判明

3733

編集部ピックアップ

Monappyでモナコイン(MONA)ハッキング被害、サイトの脆弱性を利用した攻撃と判明

Monappy(モナッピー)がハッキング被害、公式で発表

9月1日、モナコインを利用した様々な機能が提供されているポータルサイトである『Monappy』がハッキング、ユーザーの資産が盗難されていることを発表しました。Monappyは、Webウォレットの提供や、ポータルサイト内の投げ銭機能などがあり、モナコイン好きの間で長く親しまれてきたサービスです。

発表の内容はこちらです。
https://monappy.jp/index.html

発表によると、当該サイトのサーバー上にあるホットウォレットが対象で、全残高の50%以上を保管しているコールドウォレット内のMonacoin(モナコイン/MONA)については影響はないとしています。

当初は“Block withholding attack”の攻撃だと報告

9月1日時点、最初の発表において、行われた攻撃は『Block withholding attack』だと報告されました。Block withholding attackと呼ばれる攻撃は、簡潔に説明すると “悪意あるマイナーによる攻撃” です。

マイナーはブロックを採掘をしたらすぐにブロードキャストをします。しかし、Block withholding attackにおいて、次のブロックが掘るのが優位な場合、ブロードキャストせずにそのまま自身で次のブロックを採掘し続けます。

このとき、つまり、ブロックチェーンが分岐している状況になります。ここで、ブロックチェーンが分岐されたとき、長いチェーンに収斂して処理するというルールを思い出してみましょう。

つまり、ある採掘者が、ブロードキャストをせずに、長いチェーンを採掘していて、それがもう一方のブロックチェーンよりも長い場合、それがブロードキャストされた時に、それまでブロードキャストしていなかった方のチェーンが正しいチェーンになります。これを『reorg』と呼びます。

これによってチェーンを巻き戻し、サーバー上で展開されている取引所などへの攻撃に応用する事件が6月に起きています。

ブロードキャストせずに長いブロックチェーンを採掘した犯人は、自身が所有していたモナコインを取引所に送金しました。そして素早くそのモナコインを売却して、違うコインに変えて出金しました。そのあとに、自身が掘っていた長いブロックチェーンをブロードキャストします。

すると、その時点で長いブロックチェーンが正しいチェーンとなり、それまでの直近の数ブロックは無効になります。つまり、取引所はモナコインが入金されて、売買し終わった後で、トランザクションが消えてしまうことになります。ここでの金銭的な被害者は “取引所の事業者” になります。

参考:モナコインに起きた大規模なブロックチェーンへの攻撃について。Block withholding attack、Selfish Miningとは。

Monappyサーバー側の脆弱性をついた攻撃

以上が、Block withholding attackについての概要ですが、6月以降、ブロックチェーンを遡っても、モナコインに大きなreorgは発生していません。

その後、サイトは被害報告について内容を更新し、Block withholding attackでの被害ではないと修正しています。

サーバーサイドのサービスの脆弱性をついた攻撃によるものです。
MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、取引をロールバックする仕様となっているようで、これを意図的に巻き戻したとしています。

Monappyでモナコイン(MONA)ハッキング被害、サイトの脆弱性を利用した攻撃と判明出典:monappy.jp

Monappyは、暗号通貨を事業者に預け入れして遊ぶ形式のウォレットと紐付いたサービスとしては、おそらく日本最大のものです。Monappyはこれまで個人開発者による運営でしたが、先月にIndieSquare Walletに事業譲渡されたばかりです。

取引所と比べたらはるかに規模は小さいですが、無事収束することが願われます。

筆者が運営する研究所サロンでは、このような動向解説から更に深い業界のビジネス分析、技術解説、その他多くの議論やレポート配信を行なっています。ご興味ある方はぜひご利用ください。

▼d10n lab 未来を思考するための離合集散的コミュニティ
https://d10nlab.com/

関連
モナコイン(MONA)やビットコインゴールド(BTG)など複数のブロックチェーンに対して悪意あるマイナーが攻撃
仮想通貨に対する2017年ハッキング被害、前年比369%の増加率
モナコイン(MONA)の価格・相場・チャート