【8千回ボタン連打】システムに欠陥 18歳のモバコイン仮想通貨の詐取事件
■ このスレッドは過去ログ倉庫に格納されています
https://www.asahi.com/sp/articles/ASM3G4TR0M3GUTIL026.html
8千回ボタン連打、システムに欠陥 仮想通貨の詐取事件
荒ちひろ、稲垣千駿
2019年3月14日19時20分
仮想通貨「モナコイン」を顧客から預かるサービス「Monappy(モナッピー)」(営業停止中)に昨年、サイバー攻撃を仕掛け、運営会社からモナコイン約1500万円相当(当時のレート)を詐取したなどとして、警視庁は14日、宇都宮市の少年(18)を電子計算機使用詐欺と組織的犯罪処罰法違反(犯罪収益の隠匿)の疑いで書類送検し、発表した。容疑を認めているという。
仮想通貨をめぐっては、昨年1月の「コインチェック」約580億円相当、同9月の「ザイフ」約70億円相当(ともに当時)など、仮想通貨交換業者からの不正流出が相次ぐ。同庁によると、仮想通貨流出事件の立件は全国で初めて。
サイバー犯罪対策課によると、少年は昨年8〜9月、モナッピーの送金システムの欠陥を悪用して誤作動させ、運営会社が管理していたモナコイン約9万7千モナ(約1500万円相当)を外部の口座に送金させて詐取。大半を海外の仮想通貨交換所の匿名アカウントに移した疑いがある。
悪用されたのは「ギフトコード」というモナッピーの送金機能。コードを入力すると自分あてに贈られた分のモナコインを受け取ることができるが、短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。オンライン上のモナッピーのウォレット(口座)からモナコイン全量を奪った。「自分の残高が増えていくのが楽しくて、コインを全部取ってしまった」と供述しているという。
サイバー攻撃をしかける際、複数の匿名化ツールを利用して身元がわからないようにしていたとされ、ログの解析などから容疑が浮かんだという。(荒ちひろ、稲垣千駿) >>1
すみません、スレタイ間違えました
正→モナコイン
誤→モバコイン これやっとる奴らも同情の余地のねーキチガイどもなのに
被害者意識剥き出しで説明だの返金だのと
ゴミクズどもが群れをなして喚き散らしとったな >>10
やっとるやつらが基地外ってどういうこと? 世界よ!これが日本のITだ!
for無限ループで逮捕www
連打で逮捕www やっぱり、宗くん(野田草履)が正解。
わかんだね。
ビットコイン(3億円相当)をガチホ。 プログラミングの授業始まってるだろ?
学校は何を教えているんだ役に立っていないじゃないか(๑˃̵ᴗ˂̵) 小数点以下の確率でも盗めるってホントだったのか!? DQのカジノみたいに特定の数を注文すると激安で買えるみたいなもんか >>1
犯罪、っちゃ、犯罪なんだろうが。。。
なんか解説のレベルに全くついていけないワシにはこの18歳が天才に思えて仕方ないのだが。
昔の「ゲームセンターあらし」の必殺技を思い出したわ。 >サイバー攻撃をしかける際、複数の匿名化ツールを利用して身元がわからないようにしていたとされ、
>ログの解析などから容疑が浮かんだという。
つまりこれ、torやI2PやUltrasurf VPNの完全終了のお知らせって事でいいのかな? 手動で操作ボタンの連打を繰り返しwwwwwせめてスクリプトくらい組めよ モナッピーはデバッグしてくれた少年にバイト料だせよ。 認知度上がってかち上げてんやん
1500万払ってやれよ
ボリューム(24時間)
\34,593,276 JPY
79.21 BTC ブロックチェーン技術者って優秀なのにこういう不具合普通に出すんだな コインチェックのカネ盗んだのか北だってわかった以上
もう仮想通貨なんてオワコンですよね。やってる奴ヤバいだろ ガバガバやんけ!
いくらブロックチェーンが革新的でも
ブロックチェーンの外側がズタボロじゃ意味がない >>44
トランザクションで ACID が成立してないって
DB処理の基礎もわかってないアホが設計したのかね
トランザクションでなくクエリ毎のコミットという素人設計とか >>43
あとちょっとで完全犯罪だったかもね
つーかシステムが脆弱すぎだろ 16bitなのか16beatなのか良くワカラン時代 自分の口座に送ってバレないと思ったのか?
最初に何とかするところじゃね? 反応悪くてイラついてキー連打していたらキーバッファに溜まっていた処理が一気に溢れて連打って経験あるだろ。
それだよ >>37
「不正な指令」で「不法な利益」を得た(刑法246条の2)
なんだけど、今回のはバグをつかれたので
ゴネられたら裁判長引きそう
(連打してはいけません、なんて約款は無いだろうし…) 出来ればハッカー的なカッコいい盗り方で捕まって欲しかった リアルタイム送金は穴多いから注意
初歩的なバグだったなあ バキュラに256発のザッパーを打ち込むみたいなもんか? 送金処理とキャンセルを繰り返して
送金処理だけ残ったってところだな >>32
ゆうちゃんでアメリカ絡めば特定されるの分かったじゃん 仮想通貨の取引所とかこんなレベルの開発・運営ばっかりだよな
金儲け優先で知らないやつが適当にシステム組んでるんだろうな >短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
642/8254(成功/試行)
成果:9万7千モナ(約1500万円相当)
1クリック約2000円 通信を秘匿化しても金の動き自体は消せないから
その瞬間増大した口座探したら見つけられた感じ? UIでもDBでも連打の対策してなかったのか
まぁ、PMが段取り取れないとそういうことあるかも 凄いな18歳オッサンにはなんのこっちゃかサッパリ分からん よくあるバグやな
ゲームとかでデュープする奴もこの手口が多い ロジック的に想像つくかな
2垢用意して
お互い送金処理とキャンセル処理を繰り返して
秒単位で処理順をオーバーフローさせるとか
まあ違うかもしれんが >>7
公衆Wi-Fiでアタックすりゃ捕まらなかったのにな。 >>86
クライアント側が送信速度が遅いと動機取られる可能性もある
あくまで鯖側の処理ミス狙いだと思うよ >短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
クソすぎて笑ったw
トランザクションもなにもないのかwww システムと監視の甘さが拡散する前に分かって、
1500万円程度の被害で抑えられたんだから少年に感謝しろよ。 >>84
データの同期とれてないだけだろ。
秒単位の処理でオーバーフローするってファミコンですら1秒間に256連打できるんだぞw >オンライン上のモナッピーのウォレット(口座)からモナコイン全量を奪った
って全額かよwww
全額で1500まんえんwww 公衆Wi-Fiでも監視カメラから特定されそうだし海外が最強じゃないの
マウントゴックスもコインチェックもいまだに捕まってないし 1つの送金処理が完了するまでに
送金処理を何度でも開始できる >>91
送金でそんな情報量ある場合は不審データとして全部キャンセルさせるのが正しいやり方 遠隔操作の冤罪のときも、被害学生に同じような自白を強要してただろう システムがそういうふうに出来てたんならやられた方が悪いんじゃないの?
コードを書き換えたわけでもなし ■ このスレッドは過去ログ倉庫に格納されています