KCI-20180903-01 の変更点

Top > KCI-20180903-01
*KCI-20180903-01 I-C-S-C Monappyのホットウォレット内の仮想通貨盗難 [#sf36732d]

|識別コード|KCI-20180903-01|
|対象クラウドサービス|Monappy|
|攻撃カテゴリ|I(情報漏えい)|
|攻撃カテゴリ|V(仮想通貨の漏えい)|
|STRIDE|I(情報漏えい)|
|データタイプ|C(秘密情報)|
|件数|S(?)&br;※Monacoinが流出|
|責任主体|C(クラウドサービスプロバイダー)|
|主な原因|高負荷時の仮想通貨に関するトランザクションのバグ|
|概要|高負荷に置いた上でバグを利用し、ホットウォレットに存在するMonacoinを不正に引き出した。|
|参考|[[MonappyにおけるMonacoinの不正出金につきまして>https://medium.com/@IndieSquare/monappy%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8Bmonacoin%E3%81%AE%E4%B8%8D%E6%AD%A3%E5%87%BA%E9%87%91%E3%81%AB%E3%81%A4%E3%81%8D%E3%81%BE%E3%81%97%E3%81%A6-bdb1179e2bb9]]&br;[[「Monappy」、ホットウォレット内の仮想通貨が盗難 - 高負荷時の不具合突かれる>http://www.security-next.com/097523]]&br;[[仮想通貨の不正送金で利用者に全額補償 - Monappy>http://www.security-next.com/097655]]|

*時系列 [#d6b6ed2c]
+2018/08/27 攻撃者が大量のギフトコード発行を開始。2018/09/01まで継続。
+2018/08/29 攻撃者がギフトコードの受け取りを大量に実行開始。2018/09/01まで継続。
+2018/09/01 ホットウォレットの残高が不足していることを確認。サーバーを切断。調査の結果、ホットウォレット内のMonacoinが全額不正出金されていることが発覚。
+2018/09/02 ギフトコードの不備を利用した攻撃と結論。
+2018/09/03 情報を公開

----
#scomment(./コメント,30);