지금 DAO 가 2436828 Ether 가 털렸다네요.
https://forum.daohub.org/t/the-dao-is-under-attack/5171
9961496 ETHER
https://etherchain.org/account/0xbb9bc244d798123fde783fcc1c72d3bb8c189413
2436828 Ether
https://etherchain.org/account/0x304a554a310c7e546dfe434669c62820b7d83490#txreceived
2436828 / (2436828 + 9961496 ) = 19.65% , 약 20% 가 해킹 당했습니다.
방법은 위의 게시물을 보면,
$geth console
In second terminal:
$geth attach
In geth console (make sure account[0] has sufficient gas for transaction):
personal.unlockAccount(eth.accounts[0])
for (var i = 0; i < 100; i++) { eth.sendTransaction({from: eth.accounts[0], gas: 2300000, gasPrice: web3.toWei(20, 'shannon'), data: '0x5b620186a05a131560135760016020526000565b600080601f600039601f565b6000f3'}) }
This will spam the network using your accounts[0], ie first account that shows in geth account list
이거 , 이미 7218 해킹 건에서 DAO 및 Ethereum 재단에, 심지어 DAO Slack channel 안에서, IPC attach 를 통한
이런식의 공격이 가능하고 , 심지어 얼마나 malware 를 만들기 쉬운지 보여주고,
테스트까지 해 봤다는것을 알렸죠.
그런데, 사건의 심각성을 무시하고 지금까지도 저런 처사를 보이더니, 결국은 본인들이 당했네요.
그리고, 위의 경우가 먹힐라면, 사용자가 unlockAccount 할때, password 를 넣어야 하는데,
저렇게 되었다는것은 혹 account key 에 대해서 password 를 안걸었던가, password 도 탈취당했다는 것입니다.
저 모든 유사해킹이 가능한 근본문제는 geth 의 내부 구조가 취약한 설계이기 때문입니다.
약 20% 의 DAO ETH 가 털렸고, 위의 경우로 보자면 이것은 Slock 측의 키와 password 값 관리 잘못으로 밖에 볼수없습니다.
또한, 허술한 보안관리 마인드와, ethereum foundation의 개발자 들의 안일한 보안구조 인식이 한몫 했다 보입니다.
안타깝지만,
향후, ethereum DAO 토큰 보유자들께서는 이부분에 대해서 DAOHUB 및 Slock 측에 책임을 물게 될수 밖에 없겠습니다.