1/ ハッキングに関する最終調査結果及びレポート
以下の調査結果およびレポートは、攻撃の性質上、当社のインフラのあらゆる面を深く見直す必要があり、作成終了までに予想以上の時間を要しました。
2/ Halbornと協力して、完全なインシデント・トリアージを実施しました。 インフラにおける調査結果を網羅した同社のレポートはこちらからご覧ください。
3/ TLDR:
-攻撃者はCDNを悪用し、実際のhttp://wallet(.)myalgo(.)comウェブアプリとユーザーの間の中間者攻撃(man-in-the-middle attack )を通して悪質なコードを注入しました。
-この攻撃は、潜在的に侵害されたCDN APIキーを使用して実行されました。
4/ TLDR続き:
-CDN API キーがどのように入手されたかは不明です。
-MyAlgoのコードベースには、悪用や脆弱性の証拠は見つかりませんでした。
-CDNのユーザーアカウントが侵害されたことを示す証拠はありません。
5/ 追加の詳細です:
不可解なことに、CDNの監査ログには、この攻撃を可能にしたキーが作成された形跡がありません。
6/監査ログは18ヶ月をカバーしており、影響を受けたアカウントは19ヶ月前のものです。興味深いことに、このアカウントは2022年10月(6ヶ月前)まで一度も使用されたことがありません。このことから、ログが欠落しているか、APIキーが19ヶ月前に取得され、ログを回避している可能性が高いと思われます。
7/ タイムライン:1月21日に悪意のあるワーカー(MyAlgoの特定のバージョンを標的としたもの)がアップロードされ、MyAlgoの新しいバージョンがリリースされる2月中旬まで攻撃が継続されました。
8/ 法執行機関およびセキュリティ/フォレンジック専門家が攻撃の詳細を明らかにするためのより多くの情報を収集しながら調査を継続することに留意することが重要です。
9/ これまでと同様、私たちは、法執行機関、取引所、セキュリティ/フォレンジック専門家、ブロックチェーン分析会社を支援し、資金の追跡と凍結、犯人の特定を支援するためにできる限りのことを行うため、懸命に取り組んでいます。