Bitcoin Forum

仮想通貨の世界では、自分の身は自分で守らなくてはなりません。
一方で、攻撃者による攻撃は高度になり続けています。全員が少しずつ気を付ければ、被害を回避したり緩和したりできるはずです。そんな想いでスレッドを立ち上げました。
各種の事例を報告しつつ、可能な範囲でインシデントをユーザー側からの視点で確認し、ユーザーがどんなことに気を付ければいいか、というところに重点を置きます。足りない情報や最新事例などお持ちの方はぜひお寄せください。ご指摘も歓迎です。

以下、一般的な内容ではありますが参考にしてください。

* ひとつの取引所に多くのトークンを置かない
事例: MtGox, CoinCheck のような取引所からの盗難

* 利用するサービスのパスワードは強固なものにする
- 使い回さない（Lastpass, 1password 等の利用、文字列を分割して「よく使う文字列＋α」でαはメモ帳に書くとか）
- 辞書にあるような文字列の並びは避け、組み合わせる場合もできれば 3つ以上にする
- gmail だとプラスでメールアドレスを変えられるので、ID も都度変えてもいいかもしれません

* セキュリティ機能は必ず設定する
- Metamask など、開発者チームが推奨する対策は必ず実施する
- MFA を設定し、そのバックアップも取ること（複数端末でスキャン、バックアップ用文字列を紙に手書き等）
- セキュリティ機能が十分でないサービスは、そもそも使うべきではありません。

* 扱う機器にも注意を。
- 不必要なものはインストールしない。特にブラウザアドオンやスマホアプリは、インストールユーザ数やレビューも確認します。一方で、過信しすぎてはいけません
- Windows Updateなど OS のアップデートは放置せず適用すること　※まれに起動しなくなるバグとかあるので諸刃の剣ですが。
- 自宅内のDNSはセキュリティ特化型のもの（Neustar UltraRecursive等）とか使うと良いかもしれません

* 秘密鍵はオフラインに
- 資金があればハードウェアウォレット、難しければ USBメモリ等。可能ならば紙への印刷。喪失に備えてバックアップも。

* 情報は裏を取る
- エアドロップやICOのお知らせ等、メールやDMで得た情報をうのみにせず、必ずウェブサイトやホワイトペーパーなど一次情報に当たるようにしましょう。
- Google検索から取引所に飛んでませんか？URLは間違いありませんか？証明書エラーは出てませんか？
- 「支払いが必要」、「秘密鍵を入力してください」などは99%詐欺です。不安に思ったらSNSや検索で他の人が同じことをやっているか確認します
- 電話や SNS で気軽に仮想通貨のことを話していませんか？自分から情報を垂れ流していることを自覚してセーブしましょう。

* もし SCAM（詐欺）や攻撃に遭った場合も、まずは被害を見極める
- 被害者を狙った詐欺もあります。冷静になり、ダメージコントロールに努めましょう

最初は事例ベースでまとめようかと思ったのですが、調べるとあまりにも多くの例が見つかったので断念しました。
今のところ一般的な観点にとどめ、まとめてみました。追記や指摘は大歓迎です。（もしスレッドが重複していたらご容赦ください）

今週の事例まとめ：

- モナコインで 51%攻撃が観測されました。
取引所に送金したのち、非常に大きなハッシュパワーを使って掘り進めていたフォークを公開。送金をなかったものとして、1千万円単位の利益を不正に得たという理解です。

日本語記事：　http://www.itmedia.co.jp/news/articles/1805/18/news071.html
reddit のスレッド: https://www.reddit.com/r/monacoin/comments/8k7640/51_attack_on_monacoin/

- Coinhive を設置したことにより、警察の捜査を受けているという報告があるそうです
http://takagi-hiromitsu.jp/diary/20180519.html

- コインチェック関連では SNS を使って半年前から情報収集等が行われていたことが明らかになりました。
https://security.srad.jp/story/18/05/15/0924228/

週ごとにまとめて頂くと確かに振り返りやすくていいですね。
セキュリティ関係は最近のトレンドでもありますし :)

今週についてはBitcoinGoldも攻撃を受けたようでPOW界隈が大騒ぎですね。
私も簡単に経緯について次のスレ（暗号通貨のニュース・規制情報スレ (https://bitcointalk.org/index.php?topic=2775661.0)）で以下の通りまとめました。
（このスレの趣旨的に、以下のレベルのセキュリティ関係の情報は今後こちらに投稿しても大丈夫でしょうか？）。

hakkaさん、ありがとうございます！はい、セキュリティ周りの情報は、こちらに投稿あるいは転記いただけると良いと思います。
個人的に一週間で騒ぎになったニュースを振り返ってみようと思い、簡単に、記事を探してまとめてみた次第です。あとからタイムラインを追える、というメリットはあるかもしれません。

モナコインの件は、PoW系のコインにとっては本質的に回避しえない問題ですが、承認回数が長ければ長いほど取引できるようになるまでのタイムラグが発生するわけで、難しいですね。
動かした金額（価値）に応じて承認回数を変える、などの対策が本質的にはうまくいきそうな気もしますが、各取引所はそこまで賢い仕組みは実装できていない、というのが現状でしょうか。

twitterで拡散されていましたがwavesのウォレットに勝手にコインを送りつけて
フィッシングサイトに誘導する詐欺があったようですね。
手口としてはhttp://やhttps://で始まる名前のトークンを送り付け
そのトークンの名前のURLにアクセスすると、そこから自動的にwaves clientや
waves light clientのアカウント復元画面にそっくりのページにとび、そこでseedを打ち込ませる、という手法だそうです。
自分のwaves clientには幸い送られてきていませんでしたが、
身に覚えのないコインが送られてきた際には、当たり前のことですが注意が必要ですね。

怪しいURLの書かれたWavesトークンのアドレスは、アクセスしただけでも危険らしいです。
もしかすると何かウイルスやスクリプトが埋め込まれてるのかも？
今の所被害には遭ってないですが、気をつけた方がよさそうですね。
多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。

Airdropに参加するにも、やはり皆がリテラシーを身を高めることは必要ですね。
そういう意味でもこういった、セキュリティ関係をまとめてくださっているスレッドは有意義だと感じます。

今回のHBウォレットの件に関しては…どう対策すべきですかねぇ…
いつ何時でも出金できるようETHを常備しておくとか、その際焦ってセルフGOXしないとか…
最終的にはソフトウォレットではなくハードウォレットを使用するというところに行き着くとは思いますが、あるいはソフトウォレットはエアドロップ用の不安定な金庫であると認識して、こういうこともあると覚悟しておく心構えとかですかね。

先週の事例まとめ

- HB Wallet 関連
https://bacoor.co/hb/
結局、内部犯でしたね。スパイウェア的な機能を埋め込まれてしまう手口は、回避は難しそうです。。。
コインチェックで話題になった保険などもあるのではと思って調べてみましたが、（仮に契約していたとしても）現状では対応しきれないユースケースのようなので、複数の場所に分散しておくぐらいがリスク回避策になるでしょうか。

- HDAC マイニングプールのハッキング
http://virtualmoney.jp/I0003255
マイニングプールへの攻撃も、これまで以上に本格化しそうですね。
ため込んでいる通貨を奪う可能性に加え、ハッシュパワーを一時的にでも悪用できれば多額の収益を得られる可能性が示されていますし。

http://www.icomegamarket.com/研究者が51％攻撃のコスト試算、etcなら60億円のコス/?lang=ja
51%攻撃は、研究によると 16倍以上の収益につながる可能性があるそうです。こういった研究からも、攻撃が続くことは示唆されると思います。

MEW公式を装ったメールでsupport@myethervvallet～～～のアドレスから
「プライバシーポリシーがアップデートされ新しいアドレスが生成されたので
そちらに資金を移動してください。」というメールが来るフィッシング詐欺案件があるようですね。ご注意を。

https://twitter.com/myetherwallet/status/1001540981978644480

先ほどzaifからも取引所の名前を騙ったフィッシング詐欺が流行している旨の注意喚起のメールが届きましたし
この界隈毎日何かしらの詐欺案件が横行しているような。。。 :-[

先週は Taylor のハッキングが騒がれたぐらいで、目新しいものはありませんでした。
https://japan.zdnet.com/article/35119962/

個人的には、EOS関連のフィッシングメールが多かったように感じました。
送信元やリンク先を注意深く確認するのはもちろん、秘密鍵を保持したパソコンで作業をしない等、対策は怠らないようにしましょう。

ちなみに51%攻撃に関する記事はbloombergにも載りました。中身はあまりありませんが。
https://www.bloomberg.co.jp/news/articles/2018-05-30/P9IRYR6K50XS01

EOS(block.one) が問い合わせ窓口の zendesk 経由でハッキングされ、投資家が数百万ドルを失ったそうです。
手口は古典的な手法を用いており、「https[:]//xn--es-8bb.com」という文字列を URL として送り（これはシステム的に見た目上eos[.]comのように表示される）、秘密鍵の入力を求めたというものです。
　https://ambcrypto.com/millions-worth-eos-token-stolen-from-investors-block-one-becomes-online-scam-victim/


それから、ZenCash が 51% 攻撃を受けたそうです。
（恥ずかしながら把握していなかったのですが）verge の事例 (https://coindoo.com/verge-was-attacked-35-million-of-xvg-were-stolen/)に続いた事例になってしまいました。
攻撃者は今回１時間にわたって３万ドルを費やして攻撃を行ったとのことです。
　https://coinspectator.com/news/494498/zencash-suffered-a-51-attack19600-zen-were-stolen

51%攻撃のコストをまとめたサイトも作られています。
https://www.crypto51.app

日本のシンジケートが shopin の TGE 絡みで集めた資金が盗まれたそうですね。
https://www.hackread.com/syndicate-wallet-hacked-10-million-dollars-stolen/

Litecoin  Cashも51%攻撃を受けたようですね。
対策は施したため被害はなかったのこと（取引所連絡後、承認数を100に変更することで対応）。
http://www.livebitcoinnews.com/litecoin-cash-51-attack-highlights-insecurity-of-smaller-pow-coins/

今後も同様の攻撃は起こる可能性は高いでしょうが、
攻撃側も更に手を変えてくることも考えられるため、
気は抜けない状況が続きそうです。

韓国の取引所Coinrailがハッキング被害を受け、被害は４０００万ドルに達する見込みだそうです。この影響を受けて昨日から、かなり値下がりしています。
手口など詳細は公開されておらず、１か月は調査に要するとの見解が出ていますが、"cyber intrusion"と報告されているので、コインチェックと似たような話かもしれません。
https://techcrunch.com/2018/06/10/korean-crypto-exchange-coinrail-loses-over-40m-in-tokens-following-a-hack/?guccounter=1

それから、地味ですがセキュリティ絡みのネタとして、ロシアの政府系サイトがマイニング目的でハッキングされたりしています。
https://www.coindesk.com/russian-countys-website-hacked-mine-cryptocurrency/

EOSの事例に続き、別の ICO ですが公式のメールアドレスが攻撃を受けた模様です。先ほど怪しいメールが来ました。
このように、公式からのメールであっても信用ならないので、注意しましょう。こんな分かりやすいものばかりじゃありませんので。

https://i.imgur.com/LPlcIie.jpg

Memberへの昇進おめでとうございます :D

次の引用はICOのトークン保管方法に問題があったために、ICO側がハッキングをされ、資金の大半を失ってしまった例です。
プロジェクトに資金が必要だからこそ集めたのは当然であるため、今後全うに開発等されていくか心配ですね。
この事例からは、個人レベルでセキュリティに気を付けるのは当然ですが、
ICOに参加する場合、運営側がトークンを適切に保管しているか問い合わせる事も効果的かと思われました（自分の利益に関する他者への配慮という意味合いで。）。

hakkaさん、温かいお言葉ありがとうございます。
意外とセキュリティに関して日本語の事例、情報が少ないと感じているので、多少なりともお役に立てればと思っております。


先週から今週にかけて一番大きかった出来事は coinhive の裁判でしょう。
警察のやり方が極めてずさんで見せしめ的なものだと思いますので、ぜひ応援したいと思っています。
https://doocts.com/3403

ツイッターで「ether無料であげます」系のキャンペーンが行われているそうです。主に英語だと思いますが、美味しい話にはご注意ください。
https://bitcoinexchangeguide.com/ethereum-giveaway-scams-totaling-5-million-worth-of-eth-stolen-via-fake-twitter-accounts/

SIMハック（キャリアのサポートに電話して対象のSIMを無効化し、乗っ取る技法）での攻撃も報告されています。
この手法は直近だと３文字のインスタグラムアカウントを乗っ取り際に用いられたりしていて、日本の居住者は今のところ事例は無いと思いますが、存在自体は知っておいて損無いと思います。
https://ethereumworldnews.com/this-binance-users-account-with-50k-in-crypto-was-hacked-through-a-sim-swap/
　当たり前ですが SMS 認証は、あまり強くありません。MFA についても考えて行動するのが良いと思います。

設定が雑な場合、マイニングリグからも Ethereum が盗難されるという報告があるようです。
https://www.bleepingcomputer.com/news/security/hackers-stole-over-20-million-from-misconfigured-ethereum-clients/

直近で興味深いセキュリティインシデントなどは少なかったです。一件だけ紹介しておきます。

https://www.coindesk.com/internet-cafes-hacked-to-mine-800000-in-siacoin-cryptocurrency/
中国でインターネットカフェのマシンを悪用し、Siacoinのマイニングを行うマルウェアを仕込んだ、というものです。
マシンが多い環境はリターンもそれなりに期待できるため、今後も悪用の対象になりそうですね。

Coinrailに続き、韓国大手のBithumbがやられてしまったようですね。被害額は3100万ドルほどと見込まれています。
https://www.bloomberg.co.jp/news/articles/2018-06-20/PALNLM6TTDS301
https://www.coindesk.com/bithumb-exchanges-31-million-hack-know-dont-know/

ウィンドウズのクリップボード内容を改ざんするようなマルウェアが流行っているようです。
ウィンドウズのクリップボードを「ハイジャック」、ビットコインアドレスを狙うマルウェア (https://jp.cointelegraph.com/news/report-2-3-million-bitcoin-addresses-targeted-by-malware-that-hijacks-windows-clipboard)
記事ではビットコインアドレスとなっていますが、各通貨に応用可能なので、送信先のアドレスは常に確認するようにしましょう。
特に取引所等の操作に慣れている玄人も注意が必要です。

よく使用する通貨アドレスは辞書登録しておくと簡単に呼び出せるからおすすめです。 :-*
あと1Passwordなどのパスワードソフトを使ってウォレットを管理すると間違いがないと思います。

しばらく休暇でしたので、２週間分振り返りを書きます。

まず、Bithumb のインシデントは 45% を回復できたという記事が出ていましたね。その後追いかけきれていませんが、どこかに詳報がありましたらぜひお寄せください。
http://digitalmoneytimes.com/bithumb-hack-update-cryptocurrency-exchange-recovers-45-of-stolen-coins/

それから、フィッシング系の記事が幾つか出ていたと思います。
英語で攻撃されていたものがローカライズされただけかもしれませんが、引っかからないようにご注意を。
https://www.artemis-jp.com/wp/is_news_20180703/
http://www.itmedia.co.jp/news/articles/1807/05/news059.html

macOS 向けのマルウェアも出てきています > 「間抜けな」MacOSマルウェア：仮想通貨について議論するSlackやDiscordのユーザーを攻撃
https://jp.cointelegraph.com/news/dumb-macos-malware-attacks-slack-discord-users-discussing-crypto

また、日本の洪水被害に寄付を表明したバイナンスも、定期的に攻撃を受けているようです。氷山の一角とは思いますが。
https://japan.cnet.com/article/35121982/

スレッドも立てられていましたが、Bancor が1350万ドルの盗難被害に遭い、大きなニュースになっています。

スレッド: https://bitcointalk.org/index.php?topic=4634308.0
CNBC: https://www.cnbc.com/2018/07/10/bancor-security-breach-13point5-million-worth-of-cryptocurrency-stolen.html

有用そうなGoogleのフィッシング対策の記事が見つかったので投稿しますよ :)。


Google社員のフィッシングを0にした物理キー。
Google社員はもう1年以上、被害ゼロ。秘密はセキュリティキーにあり

https://www.gizmodo.jp/2018/08/google-employees-secret-to-never-getting-phished-is-using-physical-security-keys.html

FIDO U2Fですか？最後は結局物に頼らないといけないところなのですが、
フィッシングの始まりは自分自身なんですよね。警戒を最大にしても巧なものには気が付かないという。
相手も、あの手この手ですし、どんどん巧妙になるわけですし。

しかし、逆にゼロになる前に、どんだけでどんな被害があったのかが知りたいものです。
Googleですからね、気になりいますよね。

投稿ありがとうございます。Krebs の記事を翻訳したものが記事になっていたようですね。
原文は 7/23 ですが、26日には攻撃は不可能ではないという記事も出ているのがあったり、色んな人が反応しているようです。
　https://blog.knowbe4.com/yes-googles-security-key-is-hackable

私自身も u2f(ユビキー)使ってますが、nannaさんが仰るように最後は個人に行き着きますし、普及すればするほど u2f も攻撃の対象になってくると思うので、常に新しいものを追いかけ続ける必要があると考えています。

既に対抗する話がでてましたか。

>原文は 7/23 ですが、26日には攻撃は不可能ではないという記事も出ているのがあったり、色んな人が反応しているようです。

先に書いた通り、ヒューマンエラー対策には、u2f(ユビキー)のような機械に頼るのも間違いではないんですよね。
ただ実際としてヒューマンとわかれば、自分自身の問題ということになるので・・・。
そして、おっしゃる通り、機会は少なからず破られる可能性があるということです。

まーあまり言ってると、みんなで石器時代になるしかなくなる（笑

SIMハイジャックの犯人が逮捕された記事がありました。先週のものですが流れてきたので。さすがに狙ってやったのか、額が大きいですね。
https://www.darkreading.com/endpoint/privacy/$5-million-in-cryptocurrency-stolen-in-sim-hijacking-operation/d/d-id/1332422?utm_content=bufferfc31e&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

最近、ICO で立ち上がった企業なのか、盗難向けの保険が徐々に出てきていますね。
まだまだボラティリティも大きいですし、盗まれたことを真実と証明するのは結構難しそうな気がしますが、もし面白そうなものがあればシェアしたいと思います。

セキュリティ（安全性）の高い取引所として、「分散型取引所（DEX）」に多くの注目が集まっています。
これまでの分散型取引所（DEX）におけるデメリットを踏まえ、多くの企業が開発を行っているようです。
ちなみに、本日バイナンスは開発中の分散型取引所のデモ映像を公開しました。
https://jp.cointelegraph.com/news/binance-releases-demo-of-decentralized-exchange (https://jp.cointelegraph.com/news/binance-releases-demo-of-decentralized-exchange)

これから、ますます多くの分散型取引所が登場するでしょう。
とは言え、取引所が完全に守ってくれるわけではないので、自己で責任をもってしっかり管理するべきですね。 ;)

ウイルスやマルウェアが怖いですね。
時々盗まれたっていう話を耳にするので。
どこから拾ってくるのかわからないのも怖いです。

ICO Exit 詐欺について、まとまった分析を行っている記事がありました。（私も一部ひっかかりました・・・）
https://www.ccn.com/ico-exit-scams-have-stolen-nearly-100-million-research/?utm_source=dlvr.it&utm_medium=twitter

セキュリティとは若干経路は違うものですが、こういった情報をインプットして勉強し、なるべく詐欺に引っかからないようにしたいものです。

モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。
http://monappy.jp/index.html
今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。

Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、
盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。

続報です。
IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。
対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。
MonappyにおけるMonacoinの不正出金につきまして (https://medium.com/@IndieSquare/monappy%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8Bmonacoin%E3%81%AE%E4%B8%8D%E6%AD%A3%E5%87%BA%E9%87%91%E3%81%AB%E3%81%A4%E3%81%8D%E3%81%BE%E3%81%97%E3%81%A6-bdb1179e2bb9)

hakkaさん、ありがとうございます。更新しようとしたところアップデートまでされていて、さすがです。

漏れ出てくる情報によるとレースコンディションの脆弱性を突いたものらしいですね。
セキュリティの専門家でも見つけるのは簡単ではなく、さらに外部から攻撃に利用するとなると、難易度は高いと思いますが、それでも得られる金額が金額ですので、攻撃者にとっては今後もこういった脆弱性は的になりそうと思います。
新しいIT companyになりうる（と個人的に思っている）各ICOでさえ、バグバウンティを実施しているものは多くないので、そのあたりもっと一般的になってほしいです。

サーバ側ですべて対策を講じるのは簡単ではないことから、利用者がオプションとしてコールド/ホットを任意で切り替えられるというのも緩和策としては考えられるのかもしれません。
「ホットウォレットは盗まれる可能性があります」というのはサービスとしては致命的ですし、管理が粗雑な場合はコールドであっても対策になりませんが、そんなことをふと思った次第です。

レースコンディションについてはJAVAの資料ですがIPAのものがあったので、ご参考までに。
https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a03_06_main.html

おお、これは参考になります。
「レースコンディション問題によりまれにセキュリティ上の防御が緩む瞬間があるアプリケーションがあった場合」
今回のMonappyの問題だと、これがギフトコード部分であったということですかね。

バグバウンティはおっしゃる通り、もっと一般的に広まるべきでしょうね。
昔からですが、プロジェクトを広げることに注力しているものが多すぎます（まあ投機家からは文句がくるかもしれませんが笑）。

各社のウォレットのセキュリティに関してはいたちごっこが続くのでしょうね。
使用されている方は、盗まれる可能性に関して、少なくともハードウェアウォレットを使用するよりも高い事を「恐らく」承知している
と思いますので、利便性をとるかセキュリティをとるかというところでしょうか。
（各社のホットウォレット：コールドウォレット比率等は個人的に気になりますが、実際は明記されていない会社も多そうです。）

仮想通貨クラスタで話題になっている事例で、MEGA拡張のハッキングがありました。オンラインアップデートで侵害される他、エクステンションも安全ではない時代ですね。。。

- クローム拡張機能の「MEGA」が改ざん、ユーザーのモネロや個人情報を盗む
https://jp.cointelegraph.com/news/cryptocurrencies-arent-selling-off-because-of-goldman-sachs

google/github/microsoft といった主要なアカウントのパスワードを盗んだり、仮想通貨を勝手に転送したりというインシデントが発生したそうです。
（確認は取っていましたが）恐らくコードを紹介しているとみられるツイートがありました。
https://twitter.com/Symonator/status/1037610699315453952


また、以前流行した 51% 攻撃に関連し、Bitcoin Gold と Bittrex の間で、被害を保障するのか上場廃止するのか、やりとり（直訳だと脅迫）が起きています。
1800万ドルと金額も大きいですが、9/14 までに支払うよう Bittrex は求めているようです。

Bittrex Cryptocurrency Exchange Threatens Bitcoin Gold Delisting After $18 Million Stolen
https://insidebitcoins.com/news/bittrex-cryptocurrency-exchange-threatens-bitcoin-gold-delisting-after-18-million-stolen/169892

拡張機能についてはむやみやたらに追加しない、アクセス権限の変更には細心の注意を払い、
広範囲のアクセス権限等を求められた場合には一旦更新しないよう心掛ける、くらいでしょうか。

Bitcoingoldの件に関しては見せしめみたいなものですかね。
ハッシュパワーがBitcoingoldと同等またはそれ以下のものは同様のリスクがありますし笑
こういった事例が多くなると、ビットコイン等上場廃止リスクが極めて低い上位コインの人気が上がり、
草の淘汰がますます捗ってしまいそうです。。

https://www.hackmageddon.com/2018/09/10/list-of-major-crypto-hacks-so-far/
過去のインシデント一覧がまとめられているようです。コインチェックの大きさが際立っていますね。

ビットコインは引き続きランサムウェア・・・データや重要施設の稼働を人質にした脅迫に使われているようです。
https://www.ccn.com/this-canadian-town-is-coughing-up-bitcoin-after-ransomware-attack/

犯罪への悪用は避けられないものではありますが、現金と比べて何らかの優位性を訴えることができないと、今以上の発展はなかなか見込め無さそうですね。

Coin checkの知名度だけが（悪い意味で）グローバルに広まってしまったのは嘆かわしいことです。
また、散布図を見る限り、やはりインシデント数は時系列で見ても増加傾向にありそうですね。
（メジャーどころのみ取り上げているため、詳細な数は把握できませんが。）
個人的には、各暗号通貨の開発陣の能力よりも、クラッカー等の攻撃能力等の伸びが顕著となってきている結果のように思われます。
攻撃方法がより多彩になってくる中でどれだけ被害を食い止められるかは、暗号通貨の発展面でも、今後数年正念場となる予感がします。。

ファイルやウェブサイトのマルウェアがあるかどうか検査してくれるサイト

https://www.virustotal.com/

もし使おうかと思ってるサイトに不安だったらこれで検査してみるといいかも。
マイニングを勝手にしているかどうかもチェックしてるよ。

試しに検索してみた結果
https://www.virustotal.com/#/url/d31187bcc9f78a5c50d347384b3502286e05007b3db37fbfbf66dfe6908c901f/detection

金銭に直接つながりやすいため、（例えば経済制裁を受けていて外貨を稼ぎたい国もあるでしょうし）攻撃者もリソースを割くようになってきているのでしょうね。一方で、銀行のように厳しく様々対策する開発者は少ないことが原因と思います。

https://blockmanity.com/news/chinese-media-accuses-90-cryptocurrencies-stolen-code/
>In the report, researchers from Xi’an Jiaotong University in China’s Shaanxi Province and representative of Netta Lab found 405 (83%) of the cryptocurrencies to have a similarity score of more than 90%.

90% のアルトコインが攻撃に晒されたことがあり、かつ暗号通貨の 83% は非常にコードが似通っているようです。
もちろんフォークであれば似通るとは思うのですが、開発者が独自のコードを書かずに再利用やコピペで実装しているケースもあると思われ、それゆえに十分なテストや考慮が為されていない点も問題点として考えられそうです。

https://www.btcnn.com/canadian-executive-steals-over-5-million-in-cryptocurrency/?platform=hootsuite
また、投資会社の従業員が会社の金で仮想通貨を購入して持ち逃げしたという事例もありました。セキュリティとは言えませんが参考まで。



有名な OSINT ですね。複数のエンジンで診断した結果が得られます。公開されてもいい情報だけアップロードするようにしましょう。スマホ版や chrome extension などもあるようです。

EOS のハッキング事例が日本語記事になっていました。

- またしてもEOSがハッキング被害か？安全性が問われる事態の連続
https://bitlife.cryptopie.com/eos-hacking/

ソースはコレのようですね。

- Two EOS Gambling Platforms Fall Prey to $260,000 Hack
https://www.ccn.com/two-eos-gambling-platforms-fall-prey-to-260000-hack/

いずれも、EOS の脆弱性というよりはスマートコントラクトに不備があったため、という記載に見えます。その意味では、日本語記事のタイトルはあまり内容を理解していないようですね。
ギャンブルプラットフォームは当たり外れの確率を攻撃で制御できるだけで儲けられるので、攻撃者にとっては一番やりやすい相手だと思います。

最後、XRP のフィッシングについて日本・韓国をターゲットにした事例、逮捕者が出たようです。ただ、使われた分は返ってこない公算が高そうです。
https://cryptodaily.co.uk/2018/09/stolen-ripple-korea/

みなさまご存知で個々に追いかけていらっしゃるかと思いますが、記録の意味を込めて。

https://jp.cointelegraph.com/news/cointelegraph-japan-fast-news-26

zaif で不正アクセスがあり、67億円相当の仮想通貨が盗難されました。
以下、あまり個人のブログ記事とか貼らないんですが、情報としては面白いと思うので紹介しておきます。

攻撃者がZAIFタグをつけているなど。ある種の愉快犯ということでしょうか。興味深いです。
http://ka-soku.com/archives/12286308.html

直前の規約変更。果たしてこういうのって有効として扱われるんでしょうか。
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/

直前の規約変更は大変興味深いですねぇ笑
そもそも消費者契約法第8条に引っかかりまくるような条項が、9月13日の時点では並び立っていたのですね。。
コインチェック事件にも同様の話題があったような気がしますが、その際に対応しなかったのでしょうかね。

直前の規約変更の有効性については、経産省の以下の準則が詳しいですが、
今回に関しては利用者に対して大きな影響があるものかが論点となる気がします（変更後の規約に関し同意なんて一切取っていないでしょうし笑）。
http://www.meti.go.jp/press/2018/07/20180727001/20180727001.html

今後金融庁の検査等も入り、様々な事実が明るみになっていくかと思われますが、
紹介して頂いたような事実に鑑みてしまうと、あまり良くない結果が出るのではないかと個人的には予測せざるを得ません。 ::)

EOSIO Wallet Explorer を使った youtuber が 1500EOS を盗まれた事例が出てきています。

https://thenextweb.com/hardfork/2018/10/02/hodgetwins-cryptocurrency-eos-stolen/　
https://www.reddit.com/r/eos/comments/9kt4dm/eosio_wallet_explorer_removed/
　Valeriy Dorojkin によって作成されていたもので、すでに削除されたようです。

すべての詐欺から身を守るのは簡単ではありませんが、レビューのレーティングが高いものであっても（数百数千ぐらいならば容易に偽造可能なので）注意しましょう、ぐらいしか言えなさそうですね。
また、スマートフォン経由で鍵を扱うのも、あまり良くないと思います。別アドレスを作成し、必要な金額だけを都度転送するなどの対策を講じた方が良いでしょう。

pigeon coin が 15000ドルの被害に遭いました。
https://coinnounce.com/pigeoncoin-hacked-235-million-png-tokens-stolen/

事例として興味深いのは、Bitcoin で報告された脆弱性 CVE-2018-17144 が用いられたということです。
Bitcoin は秘密裏に脆弱性を修正してリリースを行いましたが、一方で Bitcoin に類似する（あるいはほとんどコピーの）通貨は打撃をこうむってしまったという点です。
ほとんどの仮想通貨は 80% 以上がコードを使いまわしているという報告 (https://cointyo.jp/article/10004707)もあるぐらいなので、暗号通貨自体のリスクはなかなか減らせそうになりですね。

被害額は大きくはないものの、性質としては危惧すべき問題ですね。
今回の様にBitcoinに不具合があった場合に、そのコードをコピーしたコインは確実に対応が後手に回るため、
脆弱性の周知後は、コピーコインは常にリスクがある状態といっても過言では無いかと思われます。

使い回しの有無は、投資対象を選定する際の一指標ともなり得そうです。

最近の事例を幾つか。

盗難後、ハッカーとコンタクトできて取り戻すことができた例。結構まれだと思いますが、これは盗んだ側が辿られてしまった感じでしょうか。
https://cointelegraph.com/news/recently-hacked-adult-entertainment-platform-spankchain-returns-stolen-booty-ethereum

３４万ドル弱の盗難事例。またもや EOS のギャンブルアプリが狙われたそうです。支払いに関するスマートコントラクトの脆弱性は、ギャンブル系だと狙いやすいようです。
https://coinspectator.com/news/946838/hackers-target-eos-gambling-dapp-once-again-338k-believed-stolen

Trade.io（TIO）で、コールドウォレットだったのに盗難に遭ってしまった事例が出てきていますね。鍵は銀行の貸金庫に入っていたが侵害されておらず、被害額は１１００万ドルということです。
https://www.whenmoon.co/11-million-stolen-as-trade-io-cold-storage-was-hacked/
https://coinspectator.com/news/966248/11-million-stolen-as-tradeio-cold-storage-was-hacked

しばらく待てば日本語訳もニュースに少しずつ出てくると思いますが、投下しておきます

https://coinspectator.com/news/980243/850k-stolen-in-crypto-exchange-hack
二要素認証を実装していたのに盗まれたとされています。
昨今はコールドウォレットからも盗まれたりという事例が相次いでいますね（正しい実装や運用になっているかどうかはともかく）

https://coinspectator.com/news/980217/ripple-worth-over-300000-stolen-in-australia-suspect-arrested
こちらはオーストラリアですが、個人投資家の口座から多量のリップルが盗まれたようです。

業者のコールドウォレットに関してはどうしても運用面を疑ってしまいますね。
何かしらの形でリカバリーキー等が指定した人物以外に漏れたとか、セキュリティ上の問題で第三者に伝わってしまっていた等は有象無象のプロジェクトがある事を考えれば、大いにあり得そうです。
個人的にも「コールドウォレットを使用してしまったのに保有通貨が無くなってしまった」問題は関心があるため、今後の原因究明等がしっかりなされていくと良いですね。

オーストリアの個人投資家は自分のe-mail経由でハッキングされて金融財産情報にアクセスされてしまったようですね。
特に仮想通貨は預金保護法の対象外でもあるので、特に高額保有者は今一度、取引所のパスワードだけでなく、それらに繋がるe-mailのパスワードや二段階認証が強固か確認した方が良いかもしれません。

皆さん、疑わしい活動を行っている取引業者や交換業者などについて検索できるようなサービスとかありますか。

なんか、ビットコインでの取引を始める前にそういう報告がアクセスできたらいいですね。報道には多くの場合、大規模の盗難ぐらい報じられていますが、やはり個人としては物足りないですね。

ブロックチェーンにおける疑わしい活動を検索できるサービスがあれば、教えていただけると嬉しいです。

今のところは自分で調べる他ないと思いますし、もし良い方法が思いついたらビジネスになると思います。
一応過去のインシデントを記録していく場所として、このスレッドを使っていますが、似たようなまとめはあまり見たことがありません。

業種は違いますが、馬車だったり、古いほうの円天だったり、悪意の有無に関わらず、決定的な証拠が出てくるまでは、詐欺、あるいは破綻してるのでは、と指摘できる人は少ないと思います。（せいぜいSNSで怪しいと呟くぐらいかなと）
もし善意で運営していて悪意は無かったとしても、それが破綻しないかというのは別問題ですし。攻撃を受けて資金が漏洩し継続できなくなる、みたいな例は最近もありました。そして、出口詐欺と区別もつきません。

初心者で、これから少しずつ触って勉強したいということであれば、CoinMarketCapの取引高あたりを見ると選びやすいかなと思います。
あとは、bitcointalk で取引所に関するスレッドがあれば、情報があるかもしれません。英語ですが機械翻訳でもある程度は分かると思うので、参考にしてみてはいかがでしょうか。
個人的には、MtGox や coincheck、zaif といった日本を拠点とする取引所は軒並みインシデントに遭っていて、日本人が多いコミュニティは特に狙われやすいと感じますので、避けるようにしています。

zaif でモナコインのノードを多数立てることで犯人のIPアドレスを追跡できた、という報告が出てきています。お金かかってそうですね。でも興味深い事例だと思います。
http://ascii.jp/elem/000/001/767/1767194/


Yenten と bitzeny が CVE-2018-17144 の攻撃を受けました。まとまった情報とか無さそうなので見つけたものを貼ります。
脆弱性自体は二重支出の不正トランザクションを生成するもので、深く追っていませんがハードフォークに近いような形で分岐しているようです。
対策が遅い取引所では莫大なコインが売られていたようですので、こういった草コインのリスクが露呈してしまった、という見方もできると思います。

https://twitter.com/ohashi3d/status/1058603889740529664
https://zenyay.net/bitzeny-pool-move

10月7日に pigeon coin の事例を挙げましたが、こういったセキュリティ的に脆弱なコイン、言い換えれば脆弱性やバグ修正の対応が遅いコインについては、今後淘汰されていくことでしょう。
まとめている vtuber のアカウントだけ貼っておきますので、興味がある方は追ってみてください: https://twitter.com/anon_secchan

P2Pネットワークを使用した捜査は国内初なのですね。222個の偽ノードを設置・・・。モナコインだったからまだできた話かもしれません。
この事例は私も大変興味を持っているので、今後の詳細が大変気になります。

CVE-2018-17144はかなり致命的なバグなのに対応していなかったのですかね笑。だとしたら、これはちょっと問題外としか・・・
重要な修正等については逐次ホルダーに知らせる様な体制が基本的には必要なのでしょうね(信用の低い草コインだからこそ)。。

セキュリティカンファレンスの CODEBLUE でも幾つか発表が出るほどになってきましたね。あくまで最先端の情報として、ですが読み物としては面白いと思います。
https://dev.classmethod.jp/security/code-blue-2018-d2-tb-1350/
https://dev.classmethod.jp/security/code-blue-2018-d2-tb-1210/
https://dev.classmethod.jp/security/code-blue-2018-d2-tb-1300/
　キーワードとしては、スマートコントラクトの悪用や、ギャンブルサイトで疑似乱数が操作可能かどうか、コインマイナーとは、などですね。

また金融という観点で一般的な内容もあります。仮想通貨そのものの内容はありませんが、非常に問題点の指摘などは近しいと思います。
https://dev.classmethod.jp/security/code-blue-2018-d2-t1-1100/

続いて Mangacoin も攻撃を受けましたね。その後の流れを見ている限りでは、スムーズに対応済みウォレットが配布できた・・・ように見えます（詳しくは追っていませんが）
https://twitter.com/MangaCoinGlobal/status/1062739114947035136
https://twitter.com/mangacoin/status/1062727281347448832

yenten や bitzeny と同じように、CVE-2018-17144の二重支出による攻撃で不正にコインを増やそうとする試みだったようです。
51%攻撃とか書いてるブログ記事がありましたが、少なくとも CVE-2018-17144 について調べて間違ったことを書かないようにしてほしいですね。

https://snyk.io/blog/malicious-code-found-in-npm-package-event-stream
https://btcnews.jp/1mxds0l921471/
https://bcfocus.com/news/bitpay-releases-security-update-after-its-copay-bitcoin-wallet-was-compromised/42340/

nodejs の npm ライブラリ※ の event stream に悪意のあるコードが挿入され、ビットコインの盗難につながりうる状況だったとの報告がありました。
※ライブラリとは、簡単に言えばコーディング、つまりソフトウェアをつくるときに活用できる部品です。

https://bcfocus.com/news/failure-to-set-gas-limit-exposes-ethereum-transactions-to-vulnerability/41366/
https://btcnews.jp/31dp7o6721482/

また、Ethereum においてガス価格を設定しなかった場合にガス価格を高騰させることができる、という脆弱性の報告もありました。

いずれも個人で回避することは難しいですが、アクティブな公式であれば早急に対応を打ち出すので、見逃さないよう SNS などでフォローしておくのが良いと思います。

https://bitcoinist.com/vertcoin-vtc-51-attack-100k-double-spend/

１２月４日の記事ですが、vertcoin も 51%攻撃による二重支払いを観測し、１０万ドル相当が盗難にあったそうです。
脆弱性といい 51%攻撃といい、価格が低空飛行を続けている中では辛い出来事が続きますね。


https://cryptocoremedia.com/research-eos-accounts-increasingly-hacked-400k-eos-stolen/

EOS のアクティブユーザーが33%程度であり、dApp も 200超ローンチされているが多くが脆弱だ、というレポートが出ています。

面白いとか言っちゃいけないんですが、本日クレバーな攻撃が流れてきました。
https://www.zdnet.com/article/users-report-losing-bitcoin-in-clever-hack-of-electrum-wallets/
https://github.com/spesmilo/electrum/issues/4968

以下は私の理解ですが、攻撃者はサーバーを用意し、クライアントの接続を待ちます。
接続してきたクライアントがトランザクションを投げようとするとエラーが返ります。このエラーに「security update required」というリッチなエラーメッセージを渡し、ポップアップするように仕組みます。
リンク先は electrum-project となっていたようで、これは攻撃者が不正に仕掛けたリポジトリおよびマルウェアです。マルウェアは2FAコードを要求し、ユーザーからbitcoinを盗み出します。

過去1週間で 75万ドル相当が盗難に遭っており、緩和策は講じられているものの、引き続き攻撃が発生しうる状況が続いているそうです。Electrum を利用中の方はご注意ください。

sncc さんも別スレッドを立てていたのでリンクしておきます: https://bitcointalk.org/index.php?topic=5090140.0

Ethereum Classic (ETC) が 51% 攻撃に遭いました。
https://thehackernews.com/2019/01/ethereum-double-spend-attack.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

開発チームの ETCDEV も昨今の相場によって解散してしまいましたし、狙われた背景には、そういった要素もあるかもしれません。

POWのみで凌いでいける暗号資産はビットコインのみになる気がしますね（場合によってはビットコインでさえ・・・）。
BCHやBSVでは全く頼りないし、分裂するたびに弱くなるのでは溜まったものではありません笑
現在POWのみを使用しているプロジェクトは、今後アルゴリズムの変更を余儀なくされる事態になってもおかしくなさそうです。

ETCの続報

約1億円分のETC（イーサリアムクラシック）の盗難に遭った、Gate.ioの発表によると、1月10日付で約1000万円分のETCが51％攻撃者から返還されたとのこと。
https://www.gate.io/article/16740

まだ攻撃者との連絡はついていないようですが、もし51％攻撃の注意喚起であれば素晴らしい試みですね。
残りの分は返還されていないし、犯人の実際の動機等は全く分かっていないようですが笑

クリプトピアのハッキング被害について、あまり追跡できていませんが日本語記事が出ていたのでシェアします。
https://jp.cointelegraph.com/news/new-analysis-suggests-16-million-in-crypto-stolen-in-cryptopia-hack

https://www.coindesk.com/suspect-behind-11-million-crypto-theft-arrested-in-europol-led-operation
ユーロポールにより、IOTAを盗んだ罪で36人が逮捕されたそうです。
暗い話題が多い中で、イタチゴッコではあるものの、逮捕者が出るというのは一定の抑止力になってほしいですね。


舌の根も乾かぬうちに、クリプトピアが再度ハッキングされたそうです。
なお、1/16 以降は音沙汰がないとの記事ですが、今見ると 1/28 に tweet があるので、一応アナウンスはされているようです。
https://ethereumworldnews.com/cryptopia-hacked-again-17000-wallets-compromised/
https://twitter.com/cryptopia_nz

クリプトピアは技術面はもちろんですが、最近流行りの管理体制の甘さが被害を拡大させたように思えますね。
日々増える新興の取引所、ウォレット開発会社は投資家らに魅力的な条件を提示しがちですが、
それよりも多くのリスクを負わされる結果になることが大変多いことを、投資家たちは再認識した方が良いでしょうね。

https://coinpost.jp/?p=66282
https://koddos.net/blog/hackers-hit-localbitcoins-exchange-stealing-28200-in-btc-in-the-process/
https://cryptonews.com/news/localbitcoins-hacked-8-bitcoins-stolen-3273.htm

Localbitcoins がフィッシングを受け、8BTC が盗難されたという事例。
1/26 に脆弱性として報告され、調査報告等が続けて投稿されていますが、その詳細については現段階では不明なようです。
手口としてはシンプルで、取引所にアクセスしたユーザをリダイレクトさせ、偽のログイン画面を利用させることで、それによって MFA 認証を突破したと思われます。


https://www.gizmodo.jp/2019/02/canada-mtgox-quadrigacx.html
https://siliconangle.com/2019/02/03/190m-potentially-stolen-quadrigacx-cryptocurrency-exchange-exit-scam/

カナダの取引所 QuadrigaCX が閉鎖し、ユーザーに多大な損失が出ているという記事です。
gizmode の日本語化された記事は少し柔らかめですが、下の英語記事ではハッキリと出口詐欺の可能性が高い点について言及されています。

記事中の情報が正しいかは裏を取っていませんが、クジラが売り逃げているという点や、遺書で大きめの金額が動いているという点など、非常にキナ臭いですね。
また、鍵の管理等の極めて基礎的なところで問題が発生している（らしい）というのも、ベストプラクティスの浸透、信頼できる市場が立ち上がることの難しさを痛感させられます。


https://blog.kaspersky.co.jp/razy-trojan-cryptocurrency-stealer/22322/

カスペルスキーからの razy というトロイに関する注意喚起です。
拡張機能の動作には注意しましょう、ぐらいの内容ではありますが、どういった攻撃があるのかは、一読する価値があるかもしれません。

https://thehackernews.com/2019/02/zcash-cryptocurrency-hack.html
https://z.cash/blog/zcash-counterfeiting-vulnerability-successfully-remediated/#counterfeiting-vulnerability-details

ZCASH に致命的な脆弱性があったものの、悪用される前に修正された、という記事および公式発表です。
2/5 時点で修正済みとのことですが、1年がかりの修正だったようです。これまで悪用されたという記録は見つかっていないそうです。


https://thehackernews.com/2019/02/mac-malware-cryptocurrency.html
それから、同じ hackernews で 2月1日の記事ですが、マック向けのマルウェアが流通しているという記事がありました。
coinbase や binance といった有名な取引所に関する cookie を盗もうとするようです。MFA が有効であっても、一度認証されたあとは何度も繰り返し認証要求されないという実装を突いているようです。
暗号通貨だけでなく、ブラウザに保存されているユーザ名、パスワード、クレジットカード情報なども対象のようです。
感染源は不明とのことですが、不正なソフトウェアのインストールを経由して感染しているとの見通しも記されております。注意喚起として記載したいと思います。

https://www.independent.co.uk/life-style/gadgets-and-tech/news/android-app-cryptocurrency-fake-clipper-bitcoin-scam-money-a8773376.html
当然と言えば当然なんですが、昨今、モバイル向けのウォレットが多数ローンチされています。
モバイルアプリで秘密鍵を盗んだり、といった手口が流行りつつあるようなので、注意喚起も含めてシェアさせていただきます。


https://thecryptosight.com/most-of-11-4-million-stolen-in-iota-heist-recovered/
1月30日に IOTA に関して犯人が捕まったとの記事を紹介しましたが、盗まれた大部分は取り戻すことができたそうです。素晴らしい。
もちろん、犯人が迂闊だったというだけであって、隠したり、場合によっては自棄になって秘密鍵を破棄されていた可能性もあったと思います。
取り戻すことができたという素晴らしい事例になったわけですが、ユーロポールに限らず、こういった犯罪、特に知的ないたちごっこについては、全力で取り組んでもらいたいと感じます。

https://thehackernews.com/2019/02/android-clickboard-hijacking.html
おなじみになりつつある hackernews からですが、新しい Android 向けのマルウェアが見つかりました。
クリップボードを監視し、アドレスが入ってきたら攻撃者のものに置き換える、というものだそうです。
App Store でモバイル向けの Metamask を詐称しているそうですが、モバイル向けはまだありません。騙されないようにしましょう。


また、若干専門的な記事ではありますが、仮想通貨に関連したものとして、Linux および macOS 向けのマルウェアに関する解説記事も紹介します。
前者は脆弱な環境に攻撃を仕掛けて乗っ取るタイプ、後者は侵害されたクラッキングツール「Adobe Zii」をダウンロードすると感染するタイプです。

「KORKERDS」をコピーしたLinux向け仮想通貨発掘マルウェアを確認、その他のマルウェアやプロセスを停止しリソースを占有
https://blog.trendmicro.co.jp/archives/20345

クラッキングツール「Adobe Zii」に偽装したmacOS向けマルウェアを解析：クレジットカード情報を窃取し、仮想通貨を発掘
https://blog.trendmicro.co.jp/archives/20296


本スレッドでは注意喚起を主目的としていますが、攻撃者の意図、手段を理解することは、ときに自分の身を守ることに繋がると考えます。
例えば、今回だと「Adobe Zii」を使ったことがある、あるいは使おうとしたことがある人は、ヒヤっとする記事だと思います。
分からないものを全く分からないまま使うのではなく、ぜひ少しでも作った人の意図を理解したり、あるいは攻撃者の手口を知ることで、問題を事前に回避できるよう注意力を高めていきましょう。

https://www.nzherald.co.nz/technology/news/article.cfm?c_id=5&objectid=12203358
クリプトピアの続報です。警察機構によって再開が妨げられているわけではない、と言う記事ですね。
特に詳しい情報はありませんが、引き続き公式の声明を待っている状況だと思います。


https://cointelegraph.com/news/report-quadrigacx-accidentally-transferred-500k-in-btc-to-cold-wallets-it-cannot-access
https://www.coindesk.com/quadriga-inadvertently-sent-btc-to-dead-ceos-cold-wallet-ey-report
続いてQuadrigaCXの続報。
紛失後に再度、理由などは分かりませんが、50万ドル近い金額（103BTC）をコールドウォレットに転送してしまい、取り出せない状況に陥っていると言う記事です。

https://cointelegraph.com/news/canadian-judge-delays-decision-on-legal-representation-for-quadrigacx-clients
また、CEOの奥さんが運営資金として 25万カナダドルを拠出していたりと、本当に亡くなられたのか分からないものの、状況は混迷を深めているようです。
弁護士団もダースで揃いつつあるようなので、監査で没収した物理機器から少しでも復旧できるといいですね。

https://www.coinmama.com/blog/important-message-about-coinmama-account-security
coinmamaのブリーチに関して、公式ブログ記事および利用者にメールも届きました。
2017年8月5日以前の登録者に影響があるということですが、少々古い点と、パスワードもハッシュ済みだと思われますので、大騒ぎするほどの影響は無いと思います。
ただし、心当たりのある方は早急にパスワードを変更されることをお勧めします。

ちなみに今回のデータは 8社1億人超のデータが含まれていた一部ということです。
https://www.zdnet.com/article/127-million-user-records-from-8-companies-put-up-for-sale-on-the-dark-web/

http://www.goodgoldcoin.cn/?p=5127
クリプトピアの続報で、ハッカーが盗んだトークンなどは Etheredelta をはじめとした各種取引所で精算されてしまったそうです。
トークンは追跡可能な分、こういった調査結果は出せるものの、一方でリアルタイムでの対応は難しいということもあり、技術の限界を感じます。
ウィルス対策ソフトのベンダー（トレンドマイクロやシマンテック）が日々アップデートするように、マルウェアのデータベースのような形で、不審なウォレットアドレスや取引所のアカウントをリアルタイムで管理できればいいなぁと思ったりもします。
（まぁ、大量にアドレスを用意し、無実の人含めてトークンを転送して追跡しにくくし、その後取引したりまとめたりする、という手法がほぼ確立されているので、イタチごっこだと思いますが）

https://altcoin.ist/index.php/2019/02/23/bitcoin-btc-worth-300000-stolen-by-scammers-in-email-based-sextortion-racket/
セクストーションで被害が出たというケースが報告されています。
初、かどうかはわかりませんが、被害が大きく報じられたのは初めてではないか、と思います。

https://ambcrypto.com/2-47-million-in-cryptocurrency-stolen-from-turkish-firm-by-hackers-communicating-through-pubg/
https://blockonomi.com/2-47-million-turkish-exchange-theft/
トルコでハッキングの攻撃者が捕まったのですが、彼らが PUBG で遊んでいた、という話。
そういった部分から足がつく可能性もありますしね。
しかし、247万ドルのうち、1割程度しか回収できていないようです。捕まっても時間が経ち釈放されたら・・・というのは誰でも考えますね。
なお、攻撃を受けたプラットフォームは情報がまだ公開されていないそうです。そのあたりも不明瞭な記事ですね。

https://hotforsecurity.bitdefender.com/blog/450000-usernames-and-passwords-stolen-from-coinmama-cryptocurrency-broker-20852.html#new_tab
coinmama のブリーチについては、postgreSQL というデータベースの脆弱性が利用されたと推測されているそうです。ただ、断定はされていない様子。
coinmama のほか、Houzz や YouNow といったサイトの個人情報と抱き合わせで販売されているらしいです。

https://www.zdnet.com/article/hacker-steals-7-7-million-in-eos-cryptocurrency-after-blacklist-snafu/
https://medium.com/@eos42/proposed-solution-for-a-broken-blacklist-ce1c18bdf81c

EOS には ECAF(EOS Core Arbitration Forum) というブラックリストを管理する仕組みがありますが、そのうちのメンテナーの一人が動かなかったため、770万ドル相当の EOS が盗難にあったあと換金を防げませんでした。
過去には批判的な意見もあった中で運用されている ECAF ですが、ブラックリスト形式でもなかなか資金のロンダリングは防ぐのが難しいようです。
現在 EOS42 は、今回のインシデントを受ける形で、これまでは 21全部のブロックが必要でしたが、より民主的な形（21のうち15のブロックでブラックリスト化）の対応を検討しているそうです。

https://blog.zerononcense.com/2019/02/28/quadrigacx-ethereum-storage-found
QuadrigaCX が持っていた資金のうち、かなりの額が取引所に分散されて転送されたようだ、ということが分かりました。
報告書が zerononcense から発行されており、各取引所も協力的な姿勢を見せているようで、資産の回復が期待されています。

https://www.cryptovibes.com/crypto-news/bitcoins-worth-of-e180-000-euros-stolen-by-employee/
Bitcoin を持ち逃げして逮捕された事例。金額は決して大きくないものの、今後もこういった事例は続くことでしょう。
大きな取引所は監視の目も厳しいですが、それ以外の場所でも換金できてしまうというのは、現金とは異なる性質を持つとはいえ、マネーロンダリングの視点から取り締まりが難しいと思います。
とはいえ、新しい技術それ自体に罪は無いと思いますので、ぜひセキュリティ企業や警察組織は、"守る"という仕事だけでなく、給与の面でも競っていってほしいですね。
　参考: http://news.livedoor.com/article/detail/16091969/

EOSは期待されている暗号資産であるものの一貫してセキュリティホールが多い印象がある。
2018年中旬にもホワイトハッカーにより12個の脆弱性が発見され、2018年末までにロールバック攻撃を再三受けた。
重大なセキュリティ問題はそれだけで暗号資産の価値を多大に落としかねないため、
EOSによってできること以上に、今後もそのセキュリティ動向には着目する必要があるだろう。
市場価値が高いものが狙われやすくなるのは当然なのだから。

少し毛色は違うかもしれませんが、別トピックで立っていた質問が面白かったので掲載します。
https://bitcointalk.org/index.php?topic=5118990.0

Bitcoin を含め、「なぜ動いているのか」、「なぜ大丈夫なのか」という部分は、当たり前のように感じる一方で、あまり考えることがありません。
そこについて突き詰めて考えたり調べるという行為は、その技術を信頼できるかどうかに繋がると思いますので、ぜひこういった素朴な疑問についても、皆さんでシェアしていきたいです。

https://cointelegraph.com/news/eos-block-producer-calls-reports-of-3-trillion-eos-transaction-fud-after-payment-fails
EOS で発行上限数を大幅に超えたトランザクションが一瞬だけ見え、それが whale alert（大規模トランザクションの検知bot）に検知されたそうです。
当然ながら発行上限を大幅に超えたトランザクションは成立せず、すぐに破棄されています。当該アカウントが十分な通貨を持っていなくてもトランザクションの生成は可能、という仕組みを利用したようです。
完全に FUD（風説の流布）狙いだと思いますが、各取引所でアービトラージや機械学習での取引を行っているシステムを混乱させる意図なども、もしかしたらあったのかもしれません。

https://cointyo.jp/article/10006613
https://support.bikicoin.pro/hc/zh-cn/articles/360025495332-BiKi-com%E5%85%B3%E4%BA%8E%E9%83%A8%E5%88%86%E8%B4%A6%E6%88%B7%E8%A2%AB%E7%9B%97%E7%9A%84%E5%85%AC%E5%91%8A
シンガポールを拠点とする取引所の DragonEx と BIKI が、それぞれ攻撃を受けました。
前者については取引所プラットフォームが攻撃を受け、Huobiやgate.ioでフリーズを行ったという報道がされていますが、被害総額は少なくとも数百万ドル（数億円）規模と思われます。
後者については報道や記事が少ないですが、取引所へのハッキングではなく、ユーザーの設定が脆弱だったため、SMS経由でアカウントを乗っ取られたようです（中国語なのでgoogle翻訳頼みです）

https://jp.cointelegraph.com/news/a-31-years-old-man-is-innocent-over-use-of-coinhive
このスレッドでも過去に取り上げましたが、coinhive の裁判で無罪判決が出ました。
地裁での判決ではありますが、結論に胸をなでおろした方も多いと思います。

https://jp.cointelegraph.com/news/crypto-exchange-coinbene-announces-ongoing-maintenance-while-customers-suspect-hack
https://twitter.com/CoinBene
取引所の coinbene が長時間のメンテナンスを行い、攻撃を受けたのではないかと噂されています。
公式は強いメッセージで否定をしており、最新のアナウンスでも攻撃を受けた事実はないことを繰り返し説明しています。
FUD に終わる可能性も高いものの、暗号資産業界に大きな影響を及ぼしうるため、引き続きウォッチしていきたいと思います

https://elementus.io/blog/coinbene-analysis/
Cryptopia への攻撃を分析して有名になった Elementus が分析を行い、怪しいトランザクションを解説しています。
画像や転送されたトークンの価値などについては、一読の価値がありそうです。

https://www.ethnews.com/bitwise-warns-sec-that-much-of-reported-trading-volume-on-unregulated-exchanges-is-fabricated
Bitcoin ETF に関連し、BitWise が US SEC にプレゼンを行いました。
実はこの中で悪い取引所のサンプルとして Coinbene が取り上げられています。取引高を偽装しているのでは、という疑いです。
3/19 に発表されたものですが、Coinbene のメンテナンスと一緒に考えると、非常に興味深いですね。

https://bitcoinist.com/bithumb-hacked-again-hackers-reportedly-steal-15-million-in-eos/
Bithumb からの資金流出、内部犯行の可能性が高いとして調査が進められています。EOS で 1500万ドルほど盗まれたようです。
彼らにとっては3度目のハッキング被害ですが、ここ最近は攻撃が続いていますね。

https://www.cryptoglobe.com/latest/2019/04/bancor-hackers-move-25000-eth-to-crypto-exchange-huobi/
Bancor のハッキングで盗まれた資金が移動されたという記事。Huobi に流れているようですね。

https://coinchoice.net/canadian-quadrigacx-is-into-bankruptcy-with-200million-dollers_bnews/
QuadrigaCX は結局破産してしまいましたね。残念。

https://www.itmedia.co.jp/news/articles/1904/10/news100.html
coinhive 事件は無罪ののち、控訴が決まりました。検察もプライドがあるのでしょうか。


本筋ではありませんが、本スレッドは 1万view を超えました。
引き続き、微力ながらスレッドの活性化に貢献していきたいと思います。

1万viewおめでとうございます！
雑談や日本語等の総合スレ以外では初めての突破かと思います😊
セキュリティに興味がある方がたくさんいる証拠ですね！
（その割に他の方の書き込みが殆どないのは内緒ですが笑）

Coinhiveは控訴ですか・・・まあ、大丈夫でしょう。謎のプライドを誇示するのは止めて欲しいものです。。

http://cryptocoindaddy.com/nexus-windows-wallet-hacked-by-hacker-over-1m-nxs-coins-stolen/
https://medium.com/@colincantrell/update-on-the-recent-events-4-1-2019-affc27fe00ff
Nexus Windows Wallet が攻撃を受け、多数の秘密鍵が漏洩したそうです。
2019/1/18 以降にウォレットをダウンロードした場合、４月１日以降にリリースされているもので対応する必要がありそうです。

https://siliconangle.com/2019/04/08/millions-feared-stolen-attack-targeting-electrum-bitcoin-wallet/
Electrum に DDoS攻撃が発生しているという記事です。
攻撃に関連し、恐らく独自のElectrumサーバーをネットワークに追加しているようで、攻撃が発生している間はなるべくオフラインにし、トランザクションをしない以外に対処方法はなさそうです。
早めにアップデートしましょう。

https://cryptomode.com/nearly-1-of-the-dash-supply-allegedly-gets-stolen-by-an-israeli-hacker/
Dashの発行総量のうち実に 1% にあたる金額が盗まれたという記事です。
一次情報が全く読めないんですが、匿名通貨と言われる Dash でも多少は追跡できそう、という書き方なので興味深いですね。

https://oracletimes.com/breaking-news-wall-street-market-has-likely-exit-scammed-30-million-stolen-people-blackmailed-warning-do-not-deposit-coins-or-make-orders/
wall street market、いわゆるダークウェブの一角が Exit Scam だったそうです。
3000万ドルの規模に加え、ユーザーを脅迫する手口も見られていることから、計画的だったのかもしれませんね。

https://www.2-spyware.com/gustuff-banking-trojan-targets-android-cryptocurrency-and-banking-apps
モバイル向けのマルウェアが銀行や仮想通貨のアプリを狙っている、という記事です。
ターゲットは主にアメリカの銀行らしいですが、仮想通貨のアプリも多くなっているので、今後、そちらを主軸に狙われる可能性は高いかもしれませんね。

ちなみに Android 向けのニュースですが、いずれは iPhone 向けも出てくるでしょう。
また、モバイル向けのウィルス対策ソフトはほとんど機能していないのが実情です。定期的に新しい端末に買い替える、必要以上の金額を入れないなどで自衛しましょう。

https://www.namecoinnews.com/cryptocurrency-exchanges-partners-with-bithumb-to-freeze-stolen-funds/
Bithumb の流出に関する続報が出ていますね。
取引所で対策が講じられていて換金が防がれている、というのは後手に回っている感はありますが、良い傾向だと思います。

https://theccpress.com/millions-worth-of-crypto-stolen-in-sim-swapping-hack/
もう見慣れつつありますが SIM Swap の事例です。21歳の若者が 40件以上の乗っ取りを行って荒稼ぎしていたという事例。
日本はともかく、アメリカだと SIM Swap がやりやすいとか、そういう背景もあるのかもしれません。

https://edition.cnn.com/2019/05/08/tech/bitcoin-binance-hack/index.html
みなさますでにご存知とは思いますが、binance がハッキング被害にあいました。CNN, bloomberg, techcrunch などでも大きく報じられています。
攻撃者は複数の攻撃手法を組み合わせ、ひとつのトランザクションで外部へ資金を転送したとのことです。詳細は引き続き追いかけたいと思います。

https://ambcrypto.com/binance-hack-scammers-luring-people-into-buying-discounted-stolen-bitcoins-btc/
Binance の件。7000BTC を売る、という販売サイトが出回っているようですね。

https://www.coindesk.com/unpatched-ethereum-clients-pose-51-attack-risk-says-report
Ethereum 51%攻撃の可能性について、パッチが不十分なノードが多数あるという記事です。

販売サイトについては十中八九fakeかscamなのでしょうね。
そして70％の販売価格というあり得そうな価格で顧客を釣ると・・・
何かしらの被害がまた出てしまいそうです :(

https://www.zdnet.com/article/bestmixer-seized-by-eu-police-over-laundering-of-200-million-in-cryptocurrency/
BestMixer がテイクダウンされたそうです。
マネーロンダリングとの戦いの歴史の一部として刻まれることでしょう。個人的には、クリアネットでサービスしてるし、妥当な結末かなと思います。

https://bitcointalk.org/index.php?topic=5147982.0
https://jp.cointelegraph.com/news/bitcoin-blender-cryptocurrency-mixing-service-shuts-itself-down
また、BitBlender も閉鎖を決めたようです。
彼らは TORネットワーク上に限ってサービスを提供していたようですが、追跡・逮捕されるリスクを嫌ってのことでしょう。

https://jp.cointelegraph.com/news/researchers-say-50-000-servers-worldwide-infected-with-privacy-coin-cryptojacking-malware
https://jp.cointelegraph.com/news/free-bitcoin-scam-propagated-on-youtube-steals-crypto-via-clipboard-hijacking
それから、マルウェアに感染したコンピュータで相変わらずマイニングが行われているというニュースと、
トロイの木馬を拡散する「ビットコインジェネレーター」をうたう動画のニュースです。いろいろ手を変えてくる攻撃者の工夫が見えますね。

https://jp.cointelegraph.com/news/chainalysis-64-of-ransomware-attackers-launder-proceeds-via-crypto-exchanges
ランサムウェアで得た資金、その６４％はマネーロンダリングされているという記事。
盗まれた資金について、誰かが経緯をきちんと追いかけるのは大事ですね。

https://jp.cointelegraph.com/news/fake-crypto-wallet-apps-appeared-on-google-play-amid-bitcoin-surge
ちょっと前ですが、Android 向けの偽アプリが出回っているという記事です。
ただ、iphone だからと言って安全なわけでもありません。攻撃手段は様々ですので、過信しすぎないことをお勧めします。
後述するように、「無害なものを登録し、その後アップデートしてバックドアを追加する」という手口もあります。

https://jp.cointelegraph.com/news/komodo-hacks-itself-and-saves-crypto-worth-13m-after-learning-of-security-vulnerability
最近では Agama wallet に関して、自社で攻撃して資金を取り出し、保護したという記事が非常に興味深かったですね。
攻撃者も賢い方法を考えてきます。この例だと npm レポジトリに無害なものを作成して使わせ、その後バックドアをアップデートで入れ込むという手口だったようです。

https://jp.cointelegraph.com/news/15m-in-stolen-bitcoin-from-2016-bitfinex-hack-changes-address
Bitfinex で盗まれた資金が動かされたという記事。今回動いたのはほんの一部ですが、追跡は続けられています

日本語記事の方が読みやすいので・・・と思うと、cointelegraph さんばっかりになってしまいました。

https://todaysgazette.com/runaway-tokenstore-mgc-wallet-ethereum-bittrex/
https://medium.com/@coinness/peckshield-1480-eth-of-the-mgc-wallet-flow-to-bittrex-975c8d85d332
TokenStore、MGC Wallet といったウォレットの開発元について、いずれも顧客資金を持ち逃げした疑いがある、という報告がされています。

https://www.onecryptocap.com/threads/gatehub-hack-update-changenow-recovers-500-000-stolen-xrp.17456/
https://changenow.io/blog/gatehub-statement
Gatehub からの盗難、ChangeNow で約 20% の XRP が差し止められ、復旧できたそうです。良いニュースですね。

https://www.coindesk.com/security-researcher-tears-up-a-binance-scam-site-to-find-the-hackers
セキュリティ研究者が、Binance のフィッシングサイトを発見したという事例。
どれくらい巧妙なのか実際のページを見ていないので何とも言えませんが、多要素認証も表示するという点も最近のものらしいですね。
Binance のサーバーとは通信しない点から、資金を盗むというよりは個人情報の収集寄りのフィッシングサイトだったようですが、Google 検索で広告を悪用して一番上に出てきた等の事例もありますし、日ごろから注意しておくべきでしょう。

https://jp.cointelegraph.com/news/mcafee-trading-platform-suffers-dos-attack-upon-launch
マカフィー氏がつくった取引機序が攻撃を受けているという記事。カードを作ったり、取引所をつくったり、色々注目されているので仕方ないところでしょう。

https://piyolog.hatenadiary.jp/entry/2019/06/18/063000
「Coincheck不正送金事案で検出したマルウェアについてまとめてみた」とある通り、coincheck事件に関する新たな情報がまとめられています。
ロシア系グループの関与が疑われるマルウェアが使用されていたということです。

そもそも国連の報告書に書かれた「北朝鮮の関与が疑われる」という一行も、ロシアの情報セキュリティ会社Group-IBの調査を引用して書いただけ、つまり一企業のレポートを鵜呑みにしただけ、という疑いが濃厚です。
3月時点で分析されていた方（ https://blog.cheena.net/2193 ）もいらっしゃいますし、一次情報を追いかけていらっしゃるセキュリティ系の方々はご存知だったと思いますが。

https://jp.cointelegraph.com/news/report-android-phishing-malware-impersonates-turkish-cryptocurrency-exchange
Androidアプリで SMS を盗む事例も出てきました。他要素認証と言えども一つの端末で完結してしまうと良くないかもしれません。

https://jp.cointelegraph.com/news/us-cftc-brings-action-against-147-million-bitcoin-investment-scheme
2017年の話ですが、160億円規模の詐欺事件に関して、提訴が行われたそうです。

https://b.hatena.ne.jp/entry/s/news.kyash.co/post/185621261449/20190616
Kyashさん、パスワード定期変更の文脈でお知らせが少々燃えてるらしいです。

https://sites.google.com/site/cryptokarakuchi/index/page42
最近はやりの XEX（Cross Exchange）ですが、詳細に分析を行った記事がありましたのでシェアします。
いうまでもないですが、ポンジスキームでは早期に参加した一握りの上位層だけはもうかりますが、それ以外は基本的に養分です。
経営者がフルコミットしているような一般的なスタートアップとは全く異なり、彼らは苦しい状況になればすぐに飛ぶので、気を付けましょう。

本スレッドも100投稿を超えました。若干地味ですがせっかくキリの良い数字なので、今後も無理のない範囲で続けていきます。
15000view を超えていて、皆さんそれなりに見て頂けているのですかね。

https://cryptocurrencynews.com/bitrue-hacked-4-million-stolen/
6月末には、Bitrue がハッキングの被害を受けました。レビュープロセスの脆弱性を突き、420万ドルをぬすんだそうです。

https://www.tripwire.com/state-of-security/featured/cryptocurrency-exchange-theft-six-people-arrested/#new_tab
2400万ユーロを盗んだ罪で6人を逮捕。タイポスクワッティング、つまり間違えやすいURLにアクセスさせる技法ですね。
例えば binance.comに対し、blnance.com という URL を用意して、メールマガジンに似せたメールや、広告経由でのアクセス、SNS や 掲示板などでアクセスさせます。
一見分かりにくい文字列を使えば、簡単には気づかれません。結構な金額を荒稼ぎしたようです。

https://www.reddit.com/r/CryptoCurrency/comments/c7rl8b/notice_on_reos_mods_arent_deleting_comments/
日本人はあまりなじみがありませんが、海外で掲示板というと reddit です。
この reddit で EOS板（と言っていいですかね）にフィッシングアプリケーションへのリンクが投稿されており、消されずに被害者が増えているという記事です。
EOSゲームは今後増えていく可能性がありますが、reddit 以外でも似たようなフィッシングは今後も続くことでしょう。

いつも参考にさせていただいています。いつの間にか日本語板を代表するスレになりましたね ;D
この中だとEOS等のリンクに引っかかる方は、この界隈のすそ野が広がれば広がるほど増えると思われるので、今後も散発しそうですね。
Bitcointalkでもレファラルリンク等は禁止されていますが、リンク類への注意喚起は引き続き続けたいものです。

https://jp.cointelegraph.com/news/bitpoint-reports-the-stolen-crypto-amounts-to-about-3billion-yen
https://coinpost.jp/?p=95823
ビットポイントが 35億円の盗難に遭いました。現時点で情報は少ないものの、現物で補償される見込みのようです。（同系列のシステムと見られる bitpoint.hk も 2.5億円相当の被害を受けた模様）

https://jp.cointelegraph.com/news/are-we-goxed-again-mtgoxs-creditor-on-bitpoints-hacking
ビットポイントは MtGox に関して、小林氏が今年2月に利用したとされています。
金融庁の業務改善命令後、さらには外部のセキュリティチェックでも問題なし（Aランクと上位の評価）とされた後に発生しただけに、原因究明が急がれると思います

トランザクションは分割され、Huobi で換金されつつあるという情報もあります。続報が待たれますね。

バイナンスで流出した仮想通貨、4800BTCが資金洗浄済み＝調査企業【フィスコ・ビットコインニュース】

https://news.finance.yahoo.co.jp/detail/20190809-01077003-fisf-market

5月にハッキング被害にあったバイナンスの流出仮想通貨のうち、3分の2が資金洗浄されていることがわかった。
7,000 BTC（当時約45億円）のうち、少なくとも4,836BTCがミキシングサービスを通じて洗浄された。


ということで、「当時約」ってのがポイントですよね。
7000BTC、今で言えば80億円。ひょえー。

仮想通貨のミッシングサービス「Chipmixer」を利用していた形跡という話から、最大３ミクサーの話まであるのですが
このミクサーってのをどうにかして封殺していかないと、犯罪助長の一因になりえると思うのですが。
正直、技術的なことやその主張からしてミクサーは理解できるものの、対する問題からミクサーはサービスとしては要らない子だと自分は思っています。

ミキシングサービスを通じた引き出しは、取引所の引き出し制限（KYC無し）の穴をついた方法でもありますしね。
前回、Zaifであった盗難もそうですが、ミキシングがマネロンの温床とみなされ、
場合によっては強制的に殆どのサービスが終了させられる可能性も十分ありそうです。

すみません、7月末から家の引っ越しや仕事の多忙などが重なり、更新できておりませんでした。
8月から9月にかけて、Binance の KYC 流出などもありましたが、追いかけ切れておりません。
いったん私の更新は停止し、気が向いたときに事件があれば調べて掲載する、という形にさせていただきたいと思います。

それでいいと思いますよ。
何かにとらわれたように活動するのおかしいですし、問題ではないはずです。
誰もが気兼ねなく話合えばいいとおもいます。

ありがとうございます。
私としては、まとめ記事として、過去に振り返ってある程度網羅的に情報が残されていると、振り返るときに（自分としても）便利だと思っておりまして。
ただ、ちょっとモチベーションが続かなくなったのでお休みしつつ細々と続けさせていただきますね、ということでした。

ぜひぜひみなさまも、疑問とか発生したインシデントとかニュースとか、気軽に書き込んでいただければと思います。