https://www.asahi.com/sp/articles/ASM3G4TR0M3GUTIL026.html
8千回ボタン連打、システムに欠陥 仮想通貨の詐取事件
荒ちひろ、稲垣千駿
2019年3月14日19時20分
仮想通貨「モナコイン」を顧客から預かるサービス「Monappy(モナッピー)」(営業停止中)に昨年、サイバー攻撃を仕掛け、運営会社からモナコイン約1500万円相当(当時のレート)を詐取したなどとして、警視庁は14日、宇都宮市の少年(18)を電子計算機使用詐欺と組織的犯罪処罰法違反(犯罪収益の隠匿)の疑いで書類送検し、発表した。容疑を認めているという。
仮想通貨をめぐっては、昨年1月の「コインチェック」約580億円相当、同9月の「ザイフ」約70億円相当(ともに当時)など、仮想通貨交換業者からの不正流出が相次ぐ。同庁によると、仮想通貨流出事件の立件は全国で初めて。
サイバー犯罪対策課によると、少年は昨年8〜9月、モナッピーの送金システムの欠陥を悪用して誤作動させ、運営会社が管理していたモナコイン約9万7千モナ(約1500万円相当)を外部の口座に送金させて詐取。大半を海外の仮想通貨交換所の匿名アカウントに移した疑いがある。
悪用されたのは「ギフトコード」というモナッピーの送金機能。コードを入力すると自分あてに贈られた分のモナコインを受け取ることができるが、短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。オンライン上のモナッピーのウォレット(口座)からモナコイン全量を奪った。「自分の残高が増えていくのが楽しくて、コインを全部取ってしまった」と供述しているという。
サイバー攻撃をしかける際、複数の匿名化ツールを利用して身元がわからないようにしていたとされ、ログの解析などから容疑が浮かんだという。(荒ちひろ、稲垣千駿) >>1
すみません、スレタイ間違えました
正→モナコイン
誤→モバコイン これやっとる奴らも同情の余地のねーキチガイどもなのに
被害者意識剥き出しで説明だの返金だのと
ゴミクズどもが群れをなして喚き散らしとったな
>>10
やっとるやつらが基地外ってどういうこと? 世界よ!これが日本のITだ!
for無限ループで逮捕www
連打で逮捕www
やっぱり、宗くん(野田草履)が正解。
わかんだね。
ビットコイン(3億円相当)をガチホ。
プログラミングの授業始まってるだろ?
学校は何を教えているんだ役に立っていないじゃないか(๑˃̵ᴗ˂̵)
小数点以下の確率でも盗めるってホントだったのか!?
DQのカジノみたいに特定の数を注文すると激安で買えるみたいなもんか
>>1
犯罪、っちゃ、犯罪なんだろうが。。。
なんか解説のレベルに全くついていけないワシにはこの18歳が天才に思えて仕方ないのだが。
昔の「ゲームセンターあらし」の必殺技を思い出したわ。 >サイバー攻撃をしかける際、複数の匿名化ツールを利用して身元がわからないようにしていたとされ、
>ログの解析などから容疑が浮かんだという。
つまりこれ、torやI2PやUltrasurf VPNの完全終了のお知らせって事でいいのかな?
手動で操作ボタンの連打を繰り返しwwwwwせめてスクリプトくらい組めよ
モナッピーはデバッグしてくれた少年にバイト料だせよ。
認知度上がってかち上げてんやん
1500万払ってやれよ
ボリューム(24時間)
\34,593,276 JPY
79.21 BTC
ブロックチェーン技術者って優秀なのにこういう不具合普通に出すんだな
コインチェックのカネ盗んだのか北だってわかった以上
もう仮想通貨なんてオワコンですよね。やってる奴ヤバいだろ
ガバガバやんけ!
いくらブロックチェーンが革新的でも
ブロックチェーンの外側がズタボロじゃ意味がない
>>44
トランザクションで ACID が成立してないって
DB処理の基礎もわかってないアホが設計したのかね
トランザクションでなくクエリ毎のコミットという素人設計とか >>43
あとちょっとで完全犯罪だったかもね
つーかシステムが脆弱すぎだろ 16bitなのか16beatなのか良くワカラン時代
自分の口座に送ってバレないと思ったのか?
最初に何とかするところじゃね?
反応悪くてイラついてキー連打していたらキーバッファに溜まっていた処理が一気に溢れて連打って経験あるだろ。
それだよ
>>37
「不正な指令」で「不法な利益」を得た(刑法246条の2)
なんだけど、今回のはバグをつかれたので
ゴネられたら裁判長引きそう
(連打してはいけません、なんて約款は無いだろうし…) 出来ればハッカー的なカッコいい盗り方で捕まって欲しかった
リアルタイム送金は穴多いから注意
初歩的なバグだったなあ
バキュラに256発のザッパーを打ち込むみたいなもんか?
送金処理とキャンセルを繰り返して
送金処理だけ残ったってところだな
>>32
ゆうちゃんでアメリカ絡めば特定されるの分かったじゃん 仮想通貨の取引所とかこんなレベルの開発・運営ばっかりだよな
金儲け優先で知らないやつが適当にシステム組んでるんだろうな
>短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
642/8254(成功/試行)
成果:9万7千モナ(約1500万円相当)
1クリック約2000円
通信を秘匿化しても金の動き自体は消せないから
その瞬間増大した口座探したら見つけられた感じ?
UIでもDBでも連打の対策してなかったのか
まぁ、PMが段取り取れないとそういうことあるかも
凄いな18歳オッサンにはなんのこっちゃかサッパリ分からん
よくあるバグやな
ゲームとかでデュープする奴もこの手口が多い
ロジック的に想像つくかな
2垢用意して
お互い送金処理とキャンセル処理を繰り返して
秒単位で処理順をオーバーフローさせるとか
まあ違うかもしれんが
>>7
公衆Wi-Fiでアタックすりゃ捕まらなかったのにな。 >>86
クライアント側が送信速度が遅いと動機取られる可能性もある
あくまで鯖側の処理ミス狙いだと思うよ >短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
クソすぎて笑ったw
トランザクションもなにもないのかwww
システムと監視の甘さが拡散する前に分かって、
1500万円程度の被害で抑えられたんだから少年に感謝しろよ。
>>84
データの同期とれてないだけだろ。
秒単位の処理でオーバーフローするってファミコンですら1秒間に256連打できるんだぞw >オンライン上のモナッピーのウォレット(口座)からモナコイン全量を奪った
って全額かよwww
全額で1500まんえんwww
公衆Wi-Fiでも監視カメラから特定されそうだし海外が最強じゃないの
マウントゴックスもコインチェックもいまだに捕まってないし
1つの送金処理が完了するまでに
送金処理を何度でも開始できる
>>91
送金でそんな情報量ある場合は不審データとして全部キャンセルさせるのが正しいやり方 遠隔操作の冤罪のときも、被害学生に同じような自白を強要してただろう
システムがそういうふうに出来てたんならやられた方が悪いんじゃないの?
コードを書き換えたわけでもなし
>>97
それを防止するのがトランザクションシステムなんだけど会計系で導入してないのが信じられないんだよ、おっさんSEには 手動でボタンを連打してセキュリティを突破ってこれは歴史に残るザルセキュリティだとおもう
まじでwikiに書いて後世に語り継ぐべきだよ
こんなレベルの技術者が仮想通貨に関わってるんやー
すごすぎー
レベル低すぎてすごすぎー
人気当時〜ハニーあたりどうでもよい存在だったが、
最近高橋名人を認めるというか、ファンになった。
GM三昧のパーソナリティまた願いします。スパンの4年過ぎてますよ、NHKはよせぇや
岡崎市立図書館事件を思い出せ
いかに自称被害者と当局の程度が低く、冤罪被害の温床となっているか
高橋名人でも天文学的な日数が必要だな。
計算難しくてできないけど。
昔オンラインゲームでも似たようなバグがあったな。
ゲーム内のメール機能で送信ボタン連打するだけで、アイテムデュープ出来てしまう。
>>103
仮想通貨ってそんなのばっかだよ
取引所のコインが盗まれたーとか、仮想通貨のウォレットがバグったーとかw
仮想通貨バブルのせいで新規に仮想通貨や取引所が乱造された
そのくせ適当に作るからセキュリティガバガバ >>101
コードレビューも雑だと見当がつけば、業と手を抜いて設計者はマウントゴックスみたいなことができるよ >>1
連打で逮捕
カジノでフィーバーしたのと何が違うの? 多段串さして連打とかやってもレスポンス悪そうだけどそんなんでも成功する位造り甘かったんか
この18歳有能過ぎるだろ
ホワイトハッカーとして雇うべき
>>8
今考えると2^8で256だから8ビットフラグかなとも思えるけど
256を8ビットバイナリ表記したら0000 0000で結局ゼロじゃん?
それって一発も当たってないのと一緒じゃん?
つまりガセネタじゃんって考えられるよな >>32
こういうのは一度もサービス使ったことのない人は攻撃しないので、サービス使ったことのある人から特定する
モナコインでこのサービスを使ってコインを受け取るなんて100人もいないだろう
100人程度ならしらみつぶしで捕まえられる >>115
オーバーフローしたら別の処理が発生してバグる どっちにしろ換金出来ずに詰んだだろうし考えが浅すぎたな
>>109
うん、わざと穴を開けてたとしか思えない実装
それが運用に行っちゃうのが問題かなあ
おっさんの頃はかなり厳しかったぞ
Webベースじゃなかったからかもしれんが >コードを入力すると自分あてに贈られた分のモナコインを受け取ることができるが、
>短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
連打による多重実行を抑止する対策なんて基本中の基本じゃん
これはシステム作った奴がアカンわ…
連打の勝ちって〜のが笑える
これ世界中に拡散ちゅだろ
仮想通貨終わったな
>>105
____
ヽ.=@=ノ
<丶.`∀´> n
/| ̄У フニ(_E) 愛知県警なら、問題ない ニダ〜♪
∪=◎=|
〈_フ__フ 1500万程度のモナコインじゃ終わるわけが無いけどな
>>98
フェールとしてはありだけど、
大体重複しても処理してくれるけどな。
そーいやペイペイで二重引き落としあったらしいが実にハゲらしいサービス重視の姿勢だわ。
100億配れるんならエンジニアにも金かけろってね。 >>8
破壊グラフィックが用意されてなかったら消えるしかないだろ? >>120
Webベースだからこそトランザクションなんだろw 日本にこだわらないで取引でもクロアチアとか南アフリカ使えよ(´・ω・`)
>>8
それさ、16発/秒撃てるジョイボールで試したけど、14秒くらいで画面下に到達するからむりだったw 金融の送金キャンセルでお金が消えるって自体をもっとも嫌うからねえ
リアルタイムでやるならこういうのはありえる
まともなところはやんないけど
送金ラグがあったり1日1回だったり
>>121
RDB使わないと起こりやすい
流行りのKVSとかトランザクションを自分で制御しないといけない場合に実装がタコだとこうなる
勝手な予想だが、テキストファイルでトランザクション管理して排他処理をしていないんじゃないかな こんな金を扱うシステムなら
しっかりとしたものを作らないと
システム屋が責任取らされるんじゃねーの?
まさかシステム屋がわざをバックドア仕掛けておいて・・・
とかないよね?
たけしの挑戦状のスタート地点でパンチを2万回連続でやると
エンディングの手前までワープ
そんな感覚だったんだろうかw
>>131
まあそうなんだけど、ちゃんと実装してなかったからこんなことが起きたんでしょ
Webアプリは専門じゃないんで濁したんだけど、システム上機能があるなら実装は必須だと思うわ >>122
うちの地元だと100発だったわ…
板はベニヤって呼ばれてた… >>131
本来タスクキューに入れて非同期にしなきゃいけない処理を
そんなノウハウを知らず、1リクエストでまとめて処理する同期的な実装にして
でも運が悪いと失敗したりロック掛けると他の処理にも影響しちゃうから
自作の不完全なロック機構やアボート処理にして 「運が良ければ成功!」 という実装になってるとか 日本社会では、信じられないような欠陥システムが普通に業務系として動いているんだよ
珍しいことではなく、こんなの氷山の一角
マイナーだったり閉じた環境だったりして、表に出てこないだけ
自分はおっさんSEなんでちょっと聞きたいんだけど
トランザクションの概念を理解しているSE/プログラマーって減ってるんかな?
ど素人がただ動けばいいという感じでまともな設計もレビューもなしに書いたゴミ
当然テストもしてない
一人で画面ポチポチして動居たように見えたからはいできました、となっている
まともなPMもアーキテクトも居ない
居るのは勘違いした素人だけって現場
>>146
そういう連中でも評価されるような環境は多いと思うよ
エンジニア不足だから
で年功序列でリーダーとかになっている
当然システムはゴミ 連打ツールは何使ったんかなw
オレは未だに高橋名人だぜ
トランザクションは使っていないのか
普通はポスグレとか使うよな
>>146
金融なのに金融庁管轄じゃないから完全に持ち逃げ可能なバブル状態
トランザクションどころかプリペアドも無いんじゃね?w
ってレベルで乱立してる >>146
母集団のSE/プログラマーが増えてるんだろうね >>148
>>151
レスありがとう
そこまでボロボロなんだな、おっさんは悲しいよ
てこ入れしないともうあかんレベルま低下しちゃった感なのかな >>151
未だに文字列連結でクエリ作っててビックリする >>67
結果を認識した上で故意に誤作動を引き起こす操作を繰り返し行なった、なんかを立証するのかな? >>156
厄介だよね
「連打してたら、色々出来ちゃいました。
隠れボーナスだと思ってました」
なんて言い出されたら難しい裁判になる
まぁ、今回の場合は、本人に不正の認識が有ったと
供述している様なので、もめないと思うが… >>156
ギフトコードの権利を行使することで得られるはずの対価
が間違ってるので、それを認識した時点で返還しなければ詐欺行為という割と思い刑が成立する。
おつり間違いをくすねるのと要件は同じ 繰り返しで手に入れた方に関しては、意図的な窃盗行為
それだけやってもたった1500万か
1年分の年収が増える程度でも税金は5割持って行かれるから手元に残るのは2割、わりにあわんな
日本の所得税まじ高すぎだわ
>>154
DB処理定番の「これやっとけばええねん」が初心者にあんまり浸透してないんだよな
初心者に浸透しているのはwordpress+phpばかりで、この勢いで個人情報扱うから即死する
具体的にはプリペアドステートメント、htmlスペシャルキャラクターズ、
あとなんだっけな、もう忘れたな
SQLインジェクションで何か合った気がする あんまりじゃないな、全然だ
本当に>>155だ
もうどう見てもセキュリティホール全開であり得ないんだが、普通にありえるんだ
業者によっては「javascriptでセキュリティ保護は大丈夫と思ってた」っていう所もあるレベルだからな >>160
1000万以上稼げるのがシステム的に異常なの。 システムの欠陥があまりにも幼稚
そしてその穴を突きすぎる奴も幼稚
上手くやればそこそこの小遣いになったのに欲をかいて全てを失う
あゝ人生
恐らく一度目は匿名でやらず偶然気付いたんだろうな
そこから発覚でしょう
ニュースでモナコインが使える居酒屋見たけどリアルでモナー見るとキッツいなw
モナーのAAとかもう見ないもんな
>>1-99
ブロックチェーン=ビットコインではない
仮想通貨はブロックチェーン技術の一面でしかない
キャッシュレス決済のシェア争いで仮想通貨が電子マネーに大敗
仮想通貨のレジ需要は、ピーク時から9割ダウン
値動きが大きすぎてレジ需要のシェア争いには向いていない
そもそもライバルの電子マネーの価値は乱高下しない
レジ需要では勝負にならない事が証明された
仮想通貨をはやらせたいなら、
法定通貨担保型でブロックチェーンを採用したステーブルコインしかない
米FRBが指摘しているように
値動きが大きすぎるビットコインやリップルは通貨ではない
ビットコインは時代遅れ >>1-99
北朝鮮による仮想通貨を悪用した制裁逃れのマネロン問題発覚
仮想通貨の現状の規制では、匿名性の高い取引所などが
制裁国やテロ組織への送金に関与していないと主張しても
潔白が証明できるほど法整備も進んていない
アメリカはマネロン対策で
メールアドレスだけで取引できる匿名性が高い取引所の
利用を禁止している。日本は利用禁止していない
商業銀行が制裁対象国、マネロン送金に関与した場合
数十億円から数千億円の罰金の支払いが課せられている
しかし、仮想通貨は規制されておらず
マネロンの助長している バカ「ブロックチェーンは破られない」
↓
たかだかF5アタックで破られた
>>1
すげーと思ったら
運営側が無能だっただけでござった モナッピーってなんなんだ?
2ch的な仮想通貨なのか?
連打で1500万円手に入ったのは
会員全員のウォレットを共有していたのか?
それもセキュリティ的にあり得ない
