「もにゃ」のKOTOが無くなっちまった!

わしゃ、お琴も少々掘っておるんじゃが、

先週、「もにゃ」に入れといたKOTOが残高0になっちまったのじゃ(T_T)
Twitterにも同じような人がチラホラ。調べてみるとKOTOのアップデートがあったらしくサーバーがエラーでKOTOが無くなっちまったようじゃ!

ヤバイよ!ヤバイよ!

そもそも、マイニング用のウォレットを「もにゃ」にしていることが大失敗だったのじゃ!
やっぱり公式のウォレットを使うべきだった….と猛省。

よ~~~し、こうなったら「もにゃ」から秘密鍵を取り出して、公式ウォレットにインポートして残高を復活させてやるぞ!



ってなことで、またまた変なことを考えちまったのじゃ。


教訓

仮想通貨では、公式ウォレットを使わないと何が起こるかわからない。
便利だからと「もにゃ」に走ったワシが愚かだったのじゃ。


さあ、「もにゃ」をハッキングして、秘密鍵を取り出すぞ!

(※現在はサーバーが復活し、残高も戻っておる。でも次回のアップデートでは対応できるのじゃろうか)

“「もにゃ」のKOTOが無くなっちまった!” の続きを読む

秘密鍵を探そう(3)

あらららら、ワシゃ、前回の秘密鍵探索で失敗をしてたことに気が付いた。
昨日、うたた寝してるときに急に思い出したんじゃ。

前回、平文の秘密鍵を探した時、UTF-8やUnicodeですぐに秘密鍵が見つかってもんで、はしゃいでしまって、超初歩的なミスを犯しておった。
リトルエンディアンを完全に忘れてそのままバイナリで探索してたのじゃ。そりゃヒットはずもないわな…..

【解説】

こういうことじゃ!

前回、NanoWalletの中に秘密鍵が存在しないかを確認したとき、バイナリデータの探索方法を間違えてしまった。
というか、そもそもメモたんの仕様が間違っておった。

そう、バイナリデータはメモリー上には、リトルエンディアンで入ってるんじゃよ。こんなのインテル系CPUの基礎の基礎、わしゃ40年以上前から知ってたはずが…(恥)

例:

秘密鍵の文字列  : f76f48e58ab7……………..0a14bc241d9bd2

メモリー上の秘密鍵: D2 9B 1D 24 BC 14 0A .. .. .. .. .. .. B7 8A E5 48 6F F7

こういう風に上位と下位が逆さに入っているもんなんじゃよ。つまり一番お尻の数値が、一番前にきて、逆さにならんでるんじゃ。インテル系CPUではこういうルールなのだ。

【再探索】

ってことはよ~、このリトルエンディアンのバイナリ値で探索したら、計算バッファに残る秘密鍵が、わんさか出てくるんじゃないのか?

さあ、やってみよう!

検索は秘密鍵の一部の”f76f48e58ab7”を、リトルエンディアンでバイナリ変換した ” B7 8A E5 48 6F F7”に変換してから探索してみるぞ。

Nano Walletを起動して、bikkurijii3でログインして

1回目の探索: 0匹

送金して秘密鍵を使ってみる

2回目の探索: 3匹 ……おおおお、予想通りじゃ!

ウォレットをいろいろ操作してみる

3回目の探索: 3匹 ……むむむ、ひょっとしてバイナリの秘密鍵は消し忘れかもな

ログオフする。

4回目の探索: 3匹 ……やっぱり消し忘れじゃ!

いやいや、前回は失敗だったな!
でもな、バイナリでも秘密鍵は山盛りだってことがわかって…..わしゃ幸せなのじゃ^^

おいおい、お前ら!もう秘密鍵が在ったくらいじゃ驚かないって?
少しは驚けよ~~~~~!わしゃ頑張ってるんだからよw
こういう危険な現実に麻痺しちゃいかんのだ。

つづく

“秘密鍵を探そう(3)” の続きを読む

不正送金はウィルスチェックで防御できない?

これまで仮想通貨の不正送金実験をしてきたのじゃが、ちょっと疑問に思わんか?

仮想通貨を不正送金する自動メモリー改ざんソフトウェアは、アンチウィルスソフトで検知されて防御できるはず。

極悪ソフトの「メモたん(改)」は、アンチウィルスで本当に検知できないの?



おいおい、極悪ソフトとは何という言われようじゃ!

ワシはウィルスなんて開発しておらんぞ。言いがかりは勘弁しておくれ(笑)

今はウィルス禁止法ってのができたから、ウィルスを作ったり、持ってたりするだけで逮捕されるんじゃぞ。知っておるか?

まあ、疑いを晴らす意味も含めて、メモたん(改)が本当にウィルスじゃないのかを実験してみるのじゃ。

【ウィルス検知実験の方法】

世の中には50種類以上のウィルスを検知するアンチウィルスソフトウェアってのがあるんじゃ。これらを全部使って、プログラムがウィルスかどうかをチェックしてくれるとても便利なサイトがあるんじゃ。

VirusTotal(https://www.virustotal.com/ja/)

ここにプログラムをアップロードすれば、60以上のアンチウィルスソフトで検査して結果を表示してくれるんじゃ。

出所不明の怪しいプログラムなどは、実行する前にここで検査するといいぞ。
このサービスは、今はGoogleに買収されたような気がするが….忘れちまった

【実験】

さあ、実験方法は簡単じゃ。
NEMを不正送金実験に使った「メモたん(改)」memotang.exeをVirusTotalにアップロードしてみるぞ。

おおおおおお、素晴らしい!!!

66種類のアンチウィルスでテストして、

検知は 0件じゃ!

ホレ見ろ、ワシの「メモたん(改)」はウィルスじゃないんじゃ。


(坊や)
すっげ~~~、こんな便利なサイトがあるんだね。
ここを使えば、ウィルスを実行しないで済むってことか!
正義の味方だね!

(爺)
ふふふふふ、そう思うか?
甘いぜ坊や!

(坊や)
え?違うの?

(爺)
このサイトは、ハッカーの為にあるような.....



だってよ、新しく作ったソフトや、使おうと思うソフトがアンチウィルスに検知されるかどうかを事前に検査できるんじゃぞ

(坊や)
えええええええ!
ってことは、アンチウィルスに引っかからないプログラムを作ってるってこと?
ハッカー恐るべし!!!


つづく

“不正送金はウィルスチェックで防御できない?” の続きを読む

メモリーハッキングの足跡

メモリーハッキングの実験を行ってきたが、最終結果だけを見ると、美しくハッキングしているように見えるじゃろ。
実際にはそこに至るまでの失敗はたくさんあったのじゃ(笑)
あんたのPCに侵入したマルウェアだって、書き換えを失敗するかもしれん。
だって、ウォレットのバージョンとか、ブラウザの違いとかいろいろあるからな。絶対に成功するマルウェアをつくるのは大変なわけじゃ。

■残高不足

これは以前に失敗談を書いたと思うが、最初はアカウントが持っている総額を取得する方法がわからずに、決めうちで1000xemとか送金しようとしてたんじゃ。

この場合は、残高不足でないはずなのに、残高エラーの

 FAILURE_INSUFFICIENT_BALANCE 

が表示される。
残高不足でないのにこれが表示されたら、ヤラレテル!ってサインなのじゃ!

■書き換え内容のミス

メモリーの書き換えでは、ほんの1バイトずれたり、間違えたりするだけでプログラムは変な挙動を起こすのじゃ。ウォレットがハングアップ場合もあれば、画面が壊れる場合もある。
ワシがもっとも多く表示させちまった画面がこれじゃ!

送信ルーチンの書き換えに失敗すると、送信メニューを選んだとたんに、こんなヘンテコな画面になった。これは何回も出してしまったもんじゃ。

これが出たら、アウトじゃ!

■テストネットとメインネットを間違えてサインイン

実験をテストネットで行っていたのじゃが、メモリー書き換えをしたウォレットを終了せずに、そのままメインネットで送金に使おうとしてしまったのじゃ。
メインネットで送金しようとしたら、送金先アドレスがテストネットに書き換えられてしまって、アドレスエラーが出てしまった。

 

こんな感じじゃ。
ここには、不正送金先のアドレスが表示されていた。
これも出たらアウトなのじゃ。



ちょっと待てよ。
これは逆さに使えば自己防衛に使えるかもしれんぞ。

【爺さん迷案】←ホンマでっか!信用しないように!

今回の実験は、テストネットのアドレスに書き換えをしてて、間違ってメインネットを使ったのでアドレスエラーが発生…..

ってことはよ、本当のマルウェアの場合の不正送金先は、メインネットのアドレスになるわけじゃから、本送金の前に、必ずテストネットでどこかに送金してみれば、アドレスが書き換えられているかの確認できるってことじゃないかい?
ワシって天才!!!

Nano Walletの場合は、テストネットとメインネットが同じプロセスの同じプログラムで動いているから、ログオフするだけで、同じプロセスのまま違うアカウントでサインインできる。じゃからこの方法は有効かもしれんな(…メモメモ)

ということは、みながやることは、テストネットのアカウントも追加して、FausetでXEMを取得しておくことじゃ。テストネットのXEMがないと送金できんぞw

つづく

“メモリーハッキングの足跡” の続きを読む

マルウェア不正送金実験のまとめ

PCに侵入したマルウェアが不正送金する時、あんたは気づくことができるのか?

それを確認するために、パスワードウォレット(普通の使い方)とハードウェアウォレットに対するハッキング&不正送金実験を行ってきたのじゃが…..

結果としては、ヤバるぎるじゃろ!
通常ウォレットでは、為す術なしじゃわ。
ハードウェアウォレットでも、あんたのミスでやられる可能性は十分にある。

ちょっとだけ真面目にまとめてみたのじゃ。
(真面目な内容を書かないと、過激だと怒られてBANされるからな)

■ウォレットを、パスワードで利用している時

通常のパスワードで利用するウォレットを使っているPCにマルウェアが侵入してしまった場合じゃ。この場合は、不正送金を仕掛けられても絶対に気づくことはできん。一発送金で全額を強奪されてしまう。

<対策>

ウォレット使うPCでは、メール、ウェブ、USBなどのマルウェアの侵入口になるものは利用しないことじゃ。前から言っているようにウォレット専用PCにする。

NEMの場合は、マルチシグという素晴らしい機能があるので、これに設定を変更し、1台のPCに侵入されても不正送金されないように対策する。
(これはこれで、よく勉強してから使わんと、あんたのコインが送金できなくなるぞ!)

簡単なのは、はやりハードウェアウォレットに移行することじゃろう。完璧でなないが、ハードウェアウォレットの場合は、気をつけて使えば不正送金前に気づける。

■ハードウェアウォレットを利用している時

PCにマルウェアが侵入し、不正送金を仕掛けた時、PCの画面上では何の変化なく全く気づくことは不可能なのじゃが、ハードウェアウォレットの超小さい画面には、送金金額や宛先アドレスの確認表示が出ているのじゃ。

これを忘れずに確認すれば不正送金を食い止めることはできそうじゃ。

じゃが、現実的にはかなり危ない。なぜならば、一般人はマルウェアによる不正送金の可能性を微塵も疑っておらん。

だから、そんなことには全く興味がないユーザーは、英語の小さい文字なんて読みもせずに、右ボタンを押すことじゃろう。

<対策>

ハードウェアウォレットでもマルチシグに設定する…..開発者さん、できたっけ?

英語の表示も必ず読むこと…..わしには、無理じゃな!

絶対に、送金金額と送信先アドレスを1文字の違いまで確認すること。
小さくて読めないのであれば、スマホで拡大撮影してでも確認する。
(TREZORの実物は、想像以上に小さいんじゃよ)

どうじゃろ。
お金が動く世界は、マジでハッカーが狙っている。
現実を知って、自己防衛しなければならんのじゃ。

次回は、この実験の溢れ話をするぞ。
こういう実験では、たくさんの失敗があるんじゃ。
そのときに、何が起きたのか….かなりマニアックかもしれんが…(ニャ)

つづく

“マルウェア不正送金実験のまとめ” の続きを読む