Хакер #305. Многошаговые SQL-инъекции
Издание Japan Today и другие японские СМИ сообщили, что 18-летнему подростку из префектуры Тотиги предъявлены обвинения во взломе платформы Monappy и кошельков Monacoin. По данным журналистов, в период с 14 августа по 1 сентября 2018 года он похитил 93078,7316 токенов (около 130 000 долларов на момент атаки) криптовалюты Monacoin у 7735 пользователей Monappy.
Полиция сообщила, что подозреваемый пытался использовать Tor для сокрытия личности, но эти попытки не увенчались успехом, и его удалось вычислить по логам, которые следствию предоставили разработчики скомпрометированной платформы.
По данным самих разработчиков Monappy, подозреваемый воспользовался уязвимостью, связанной с функциональностью подарочных кодов, которая появилась у платформы в 2017 году. Она позволила злоумышленнику перегрузить систему запросами, отправив самому себе многочисленные переводы, используя один и тот же подарочный код. Полученные таким образом средства подросток перевел на несколько криптовалютных бирж и конвертировал в другие валюты.
Атака привела к тому, что в ноябре 2018 года представители платформы Monappy объявили о временном прекращении работы. Разработчики пообещали, что Monappy вернется в строй после проведения аудита безопасности с привлечением сторонних экспертов, и только после того, как они убедятся в безопасность сервиса. В настоящее время Monappy по-прежнему не работает.
В центральном полицейском департаменте Токио подчеркнули, что это первый в истории страны случай, когда подозреваемого не просто обвиняли во взломе чего-либо, но во взломе, связанном с хищением криптовалюты.