Letter from Cyberstella

13 min readJul 11, 2023

(記事後半に日本語文の記載があります)

Dear Cyberstella members,

We are writing in regards to a recent event that occured in our Discord server that resulted in it being severely damaged by hackers.

Summary:

The attack was made through a price ticker bot we manually added, even though we had security measures to prevent the attack from hackers.
It was our human error, so we will implement several advanced security protocols to prevent a similar case from happening in the future.
The game is safe and operating without any issues.
We managed to salvage most channels, mochi earnings, $STL points system and Pioneer program’s role status. Unfortunately, some channels are entirely deleted.
We confirmed our server is safe now. You can start a conversation at our home. If you are still worried, do not hurry. We hope you will come back when we regain your trust.
Our server will recover with full functionality with a higher security protocol within two days.

How We Got Hacked:

Following our Coin Gecko listing, we aimed to integrate a price ticker into our server.

We explored reputable Discord bot websites, focusing on bots that supported Coin Gecko’s API. We identified a few promising options and initiated trial runs on a test server.

Regrettably, one of these bots neutralised the security of one admin’s account who added the concerning bot. The attacker bypassed security measures, including username/password and 2FA/SMS authentication, gaining access to our account’s login token, even though we had preventive measures.

Consequently, our server fell victim to a hacking attempt. The attacker seized our account with admin access, disseminated suspicious links via our announcement channel, and imposed silence on our users, banning anyone who attempted to raise the alarm.

In short, it is our human error as we manually added a bot that caused the attack. We will propose an alternative structure whenever we add such a bot.

Our Response to the attack:

We identified the rogue bot used by the hackers, their Discord accounts, and the modifications they made within the server within an hour when the attack started.

On regaining access to our account, we promptly revoked their login token and began a thorough server investigation.

We managed to recover control and ban the attackers. Nevertheless, this ordeal resulted in the unfortunate deletion of many of our principal channels.

Our Next Steps:

While deeply unsettling, this incident has provided valuable insight into hackers’ strategies and imparted crucial lessons in cybersecurity.

It has highlighted areas where we can enhance our server’s security control. To mitigate future incidents, we have outlined several improvements to our processes.

We plan to introduce a check and balance system for every 3rd-party integration.

Additionally, we will incorporate failsafe mechanisms to ensure we maintain complete control over all server activities.

This setback has illuminated areas for advancement in our security protocols and has educated us on the necessary actions to mitigate security breaches in the future further. It’s a challenging yet crucial step in our ongoing commitment to provide a secure and reliable platform for our community.

Recovery Plan:

Wewill re-arrange our server in the next two days to recover functionality. We will also introduce a higher security protocol and unban all affected members.

While it may take a while for us to recover to our pre-attack state, our Discord server’s framework systems were mostly unaffected and will be instrumental when we gradually reintroduce the community features back.

For those who connected their wallets to the malicious website:

Please make a ticket on our server and report, or you can fill up this form: https://forms.gle/MHBiYdEodXfhQ3PN6.

We will prepare compensation for you.

Regarding the fake invitation link and server:

The attacker has created a fake Discord server that pretends to be us.

Please DO NOT use the Discord invitation custom link that ends with /Cyberstella, and DO NOT access the server.

We have generated a randomized invitation link.
Please use this link for invitation: https://discord.gg/xpMVvzmx4R

At last:

Thank you for your support in a difficult situation. Many of our community members are sending alerts and trying to protect others. We received a lot of warm supports during our recovery operations. We sincerely apologize for our misconduct that made you worried.

We will try our best to become an admin, that deserves you.

— — —
Shinnosuke Murata
CEO / Murasaki B.V.

サイバーステラを応援してくださっている皆様へ

7/9にサイバーステラのディスコードサーバーがハッキング被害に遭い、皆様に多大なるご迷惑とご心配をおかけしたこと、心よりお詫び申し上げます。

以下、経緯と今後の対応、セキュリティ強化策に関しての説明となります。

要旨：

サーバーへの攻撃は運営メンバーが手動で追加したフェイクの価格表示botを通じて行われました
運営の人為的なミスであり、今後同様の事案を防ぐために、チェック体制を強化し、新規のbotを追加する際のセキュリティプロトコルを導入します。
ゲームはハッキングされておらず、安全で、問題なく運用されています。
ほとんどのチャンネル、モチコインのデータ、STLポイント制度、パイオニアプログラムにおける獲得ロールは本件の影響を受けていません。しかし、残念ながら一部のメッセージチャンネルは完全に削除されました。
サイバーステラののディスコードサーバーは現在安全であることを確認できています。そのため、既に今まで通り、サーバー内で会話を行うことが可能な状態です。もちろん、不安を感じるという方は、無理に参加する必要はありません。私たちが皆さんの信頼を取り戻すことができた時には、戻ってきて頂ければ幸いです。
サイバーステラサーバーは、本日から2日以内にセキュリティを強化した状態で機能を回復します。

攻撃の経緯：

先日サイバーステラのゲームトークンである $STL がCoin Geckoにリスティングされたことを受け、サーバー内に価格表示用のbotを導入する為にサイバーステラのサーバーとは異なるテスト用サーバーで調査を実施していました。
その中のbotのうちの一つが当該botを追加した管理者アカウントの2FAなどのセキュリティを無効化し、運営メンバーの一人のアカウントのログイントークンにアクセスしました。
その結果、攻撃者は我々のサーバーをハッキングし、サーバーの管理者権限を用いて運営メンバーや警戒を促すメンバーをサーバーからBANしました。
そして、アナウンスチャンネルからフィッシングリンクの送信を始めました。

ハッキング後の対応：

攻撃開始後から1時間以内にハッカーが用いた悪質なbot、彼らが使用しているディスコードのユーザーアカウント、彼らがサーバーに加えた変更を特定しました。
攻撃開始から30時間後、BANされていたアカウントが復活し、運営チームがアカウントへのアクセスを取り戻しました。
サーバーの調査と共に攻撃者のログイントークンを速やかに削除し、彼らのアカウントのサーバーからのBANを実施しました。
しかし、彼らは攻撃を行うのに用いたメインアカウントとは別のダミーアカウントを同時に用意しており、運営側がメインアカウントのBANを行った直後に、ダミーアカウントがBANされる前に、メッセージチャンネルの削除を行いました。

ハッキング被害の原因：

本件は、攻撃を引き起こしたbotを運営メンバーが手動で追加してしまう、というヒューマンエラーが原因となり起きました。

運営自らの行為により日頃から応援いただいている皆様に不安を与える結果になってしまい、大変申し訳ありません。

再発防止のために:

今後同様の事案が起きることを防ぐため、以下のプロトコルを導入します。

新規のサードパーティ制サービスの導入時のチェック＆バランスシステムの強化
サーバー活動を完全にコントロールできるよう、フェイルセーフメカニズム（本件のような事案が起こった際に迅速にリカバリーできるシステム）の導入

サイバーステラサーバーの復元：

これまでのサイバーステラのサーバー内でのコミュニティ活動を支えてきた、基幹となるシステムの多くは深刻な被害は受けていません。

また、期間中に攻撃者によりBANされたユーザーの方のBANの取り消しも完了しました。

今後2日間でサーバーを再構築し、より高いセキュリティ策を追加し、サーバー全体の機能を回復します。

フィッシングサイトにウォレットを接続し被害に遭われた方へ

攻撃者が送信したウェブサイトにウォレットを接続し、被害に遭われた方には、補償させて頂ければと存じますので、チケットを作成し、ご報告願います。

偽サーバーについての注意喚起：

攻撃者は、サイバーステラのサーバーを装う偽サーバーを作成し、招待リンクを使用しています。

末尾が — /Cyberstellaとなっているディスコードの招待リンクはサイバーステラ公式サーバーへの招待リンクではありません。

こちらのサーバーへはアクセスしないようお願い致します。

現在サイバーステラ公式サーバーでは、ランダム文字列を利用した招待リンクを使用しています。ご招待の際は以下のURLの共有をお願い致します。
https://discord.gg/xpMVvzmx4R

最後に：

重ねまして、この度は皆様にご迷惑をおかけし大変申し訳ありませんでした。心からお詫び申し上げます。

運営一同、困難な状況にも関わらずサポートしてくださる皆様に感謝しています。

コミュニティメンバーの皆様が警告を拡散し、他のメンバーを守ろうとしてくださったおかげで被害を最小限に止めることができました。

復旧作業中にも応援やサポートの声を寄せて頂き、誠にありがとうございます。

我々が素晴らしいメンバーの皆様に安心して交流頂けるプラットフォームを提供するにふさわしい運営チームとなれるように、最善を尽くしていきます。

日頃のサポートに感謝するとともに、今後ともよろしくお願い申し上げます。