Monappyハッキング被害とその後の対応

2018年09月03日

9/3　21:08追記
＊【誤解しないで欲しいですという内容】を【ご注意ください】に変更
＊旧運営の剣ヶ峰氏からのアナウンスツイートを追記

先日、モナコイン宇宙最大のコミュニティである「Monappy」にて、ホットウォレットに保管されていた全てのMonacoinが悪意あるユーザーから不正に出金されるという事態が発生しました。
（全残高の54.2%を保管しているコールドウォレットは無事）

 

第1次アナウンスは事件発覚当日の9/1。

【重要】Monappyへの攻撃についてのご報告を掲載いたしました。この度はユーザーの皆様をはじめご関係者の皆様に、多大なるご迷惑をおかけしていますことを深くお詫び申し上げます。https://t.co/wLhL0kBuqn

— Monappy@monacoin (@_monappy_) September 1, 2018

そして、本日9/3のアナウンスにて被害額と被害者の数、その対応が発表されました。

I just published “MonappyにおけるMonacoinの不正出金につきまして” https://t.co/amOH8Kbqcm

— IndieSquare (@Indie_Square) September 3, 2018

【概要】

• 旧運営の方から新運営のIndieSquare社へ体制移行中の最中に起きた
• 2018年8/27～9/1間において、Monappy特有の機能「ギフトコード」を利用した不正
• 被害額は、93078.7316MONA(約1489万2597円)、被害者数は7735ユーザーと発表
• 被害者救済を最優先し、旧運営者の自己資本を以て全額を補填すると発表
• 現在はサイトを一時的に閉鎖し、復旧作業中。ギフトコード機能の存続は不明。

 

【ご注意ください】

• 「モナコインのブロックチェーン」の脆弱性をついたものではありません
• 過去に起きたBlock Withholding Attackは無関係であり、そもそもBlock Withholding Attackは他のPoW通貨でも起こりうることです
• 元々、旧運営からMonappyのウォレットは「預けっぱなし」は控えるようにアナウンスしていました
• この事件の対応を理由に、IndieSquare社及びMonappyからメール・電話・郵便等でメールアドレスやパスワードなどを聞くことはありません。
• 旧運営に寄付を集めます！と言う詐欺と思われる活動には引っかからないでください。

あとこれだけはちょっと注意しておいてほしいのですが、Monappy旧運営に送る寄付を集めますみたいなのには絶対乗っからないでください。さすがにそんなのに引っかかる人は居ないだろうけど、念のため。

— 剣ヶ峰 (@kengamineP) September 3, 2018

 

事件発覚から発表、原因特定、暫定措置、被害者への救済措置までわずか2日間でここまで発表できるのは極めて迅速であり異例です。中の人、本当にお疲れ様です…。

 

また、本件はまだ「原因」と「補償」が発表されたに留まり、悪意あるユーザー逮捕（＝真たる解決）には至っておりません。

現在も、技術力あるモナコイナーが犯人特定のため奮闘しております。

彼らに敬意を示すとともに、事件の終息を切に願います。