traders_free custom_top_html:no
default debug random = 1 / type = READ / detected = READ

어떤분이 걱정의 말씀을 주셔서 이글을 올립니다.  


일부 몇분들이 생각하시기에 "그렇게 취약점을 잘 알면서 왜 당했느냐? 조작을 한것이 아니냐"?


이말을 참 드리기 망설여 졌는데 말씀을 드려야할것 같습니다. 저는 본업이 보안 입니다. 이쪽 계통에서는 전문성을 가지고 오래 일을 해왔습니다.


해킹 당한 7218개의 이더는 제가 취미로 작년 8월부터 시작해서 모은 것입니다. 대다수가 작년에 모인거구요.  저 한테는 단순한 금전적 가치보다 스트레스를 푸는 여가 시간의 취미 생활로 들였던 공이 더욱 크기에  의미가 있습니다. 


미스트 지갑은 원래 사용하지도 않았습니다. 다오를 구매하기 위해 한번 사용을 시작을 했구요. 그러다 그런 사고를 당했습니다.


제가 말씀을 드리고 싶습니다. 아무리 전문성이 있다고 해서 사용하기 전에  모든 프로그램의 취약점을 스스로 분석을 하고 사용을 해야할까요? 


보안을 하는 사람으로서 기본적인 윤리 원칙이 있습니다. 저는 비록 사고를 당하였지만 제가 가진 전문성을 발휘해서 조사하다보니 큰 피해 확산이 생길수 있는 중대 문제로 파악이 되어 이더리움 개발진들에게 즉각 보고를 하여 패치 요청을 하였습니다.   조사 도중 다른 문제들도 파악이 되었습니다. 


그러한 내용들을 전달함에 있어서 기대했던 그들의 대응은 생각과는 달랐습니다. 그들은 빠른 조취를 취하며 지적한 2개의 문제점에 대한 패치를 신속하게 하였습니다.

그러나 실제 문제점을 파악하고 전달한 저에게 보이는 이중적 태도에 실망도 하였습니다.


하지만 그렇다고해서 싸우는게 모든걸 해결할수 있다고 보지는 않습니다. 비록 그들이 인정이나 사과 없이 통보없이 패치 작업을 하였다한들 실제로는 사용자들에게

필요한 부분들은 반영이 되었습니다. 더욱더 말씀 드리면 며칠전 보안 팀 발촉  프로포잘을 시작한것이나 오늘 올라온 cpp-ethereum 에서 지갑을 한번 열면 unlock 이 되는  그런 보안 취약점 발표를 한것만 보아도 그들이 보안 강화를 위하여 얼마나 노력을 하는것인지 방증한다고 볼수 있습니다.

DAO.Security, a Proposal to guarantee the integrity of The DAO

https://blog.slock.it/dao-security-a-proposal-to-guarantee-the-integrity-of-the-dao-3473899ace9d#.qpnpvovma


Security Alert – cpp-ethereum keeps accounts unlocked

https://blog.ethereum.org/2016/05/31/security-alert-cpp-ethereum-keeps-accounts-unlocked/


이런 부분을 십분 이해하시고 도와주시는 @atomrigs님 @안씨아저씨님 @WEBUS님 @어른아이님 모두는 이러한 긍정적이며 중대한 변화를 이끌어낸 피해자면서 기여자가 인정을 받지 못하는점이 너무나도 안타깝다며 저에게 연락을 주시면서 이렇게까지 진행을 하게 되었습니다.  


공감해주시고 도움 주시는 여러분들 너무 감사합니다. 


1

stardust님의 서명

댓글 8
  • 그동안 해킹을 당한 사람은 많습니다.
    stardust 님보다 피해액이 크셧던 분들도 있었구요.
    그런데 왜 이번일에만 나서서 모금활동을 하는가? 라고 생각할수도 있을것 같습니다.
    위와 같은 생각을 하고 계신 분들은 시간이 걸리더라도 아래 링크를 한번만 읽어주셨으면 합니다.

    해킹상황에 대한 설명 -> http://security7218.org/ko/sub_1.html
    해킹사태 후 진행상황에 대한 설명 -> http://security7218.org/ko/sub_2.html
  • ?
    큰 돈을 잃으신데 대해 먼저 안타까운 심정 전합니다.
    커뮤니티 전체가 뭉쳐서 스타더스트님의 명예와 손실 회복을 위해 노력하시는 모습이 참 보기 좋네요
    아래 올라와있는 사건의 개요를 읽어봤습니다.
    물론 그전에도 봤었지만, 단편적으로만 알고 있어 전체적인 내용을 알지는 못했었습니다.
    그렇다고, 잘하지도 못하는 영어게시판을 읽어볼 엄두도 나지 않아서 잘 몰랐었습니다.
    보안 일을 하신다고 하니 원격 데스크탑이 얼마나 위험한지 잘알고 계시리라 봅니다.
    어쩌면 그쪽일을 하시다보니 원격 접속으로 업무를 자주 보신다면 다른이의 컴에 쉽게쉽게 접속하여 작업을 마니 하시다보니 오히려 무감각해지셨을지도 모르겠습니다.
    지적하셨던 두가지 보안상의 취약점은 사실 여기 유저들은 대부분 몰랐을테고 이번 사건을 계기로 한층 보안이 강화되었다니 다행입니다.
    그걸그렇고 저는 IT의 전문가는 아닙니다만, 비트코인의 예를 들겠습니다. 아시겠지만 비트코인 같은 경우는 지갑자체에 애초부터 암호가 없는 것도 많이 있습니다.
    한마디로 내 PC나 스마트폰의 보안이 뚫린다면 언제나 도난의 우려가 있는것이죠.
    그리고, 패스워드의 암호화에 대해서는 인터넷 뱅킹이랑은 비교하기는 힘들듯합니다. 인터넷 뱅킹은 패스워드를 은행으로 송신하여야만 하므로 패킷을 훔쳐본다면 패스워드가 노출될 수 있기에 암호화를 반드시 해야합니다만,
    개인지갑의 경우는 인터넷을 통해 패스워드를 송수신할 필요가 없기때문에 암호화를 하고 안하고는 선택사항으로 판단됩니다.
    이런 글 남기기가 참 망설여지지만 그냥 개인 의견일 뿐입니다. 송구스럽네요
  • @널만나
    지적 하신것처럼 , 암호화폐가 마켓캡이 점점 커지는 만큼, 지갑보안에 대해서는 보완이 많이 필요함을 체감했습니다.
    우리나라 은행프로그램 activex 때문에 X지 같이 불편하다 생각하지만, 이런 경우를 이번에 추적해보니, 때로는 그것이 필요하겠다는 느낌이들어서, 저도 개발자 출신이지만, 다시 한번 생각하게 되었습니다.
  • @널만나
    송구하실 필요 없습니다. 제가 조금 설명을 더 드리겠습니다.

    이쪽 계통 이기에 남의 PC를 조사한다는 것은 더욱더 해서는 안되는 일이며 엄격하게 금지가 되어있습니다. 절대로 해서는 안되는 일입니다.
    만약 조사를 한다 하더라도 철저한 법적 제도 안에서 시행을 해야 합니다.

    Geth 자체의 암호 알고리즘은 훌륭합니다 개인키를 keystore 안에서 보관하고 적용하는것은 훌륭하죠. 다른 여타 코인들과 틀린점은
    스마트컨트랙이라는 블럭체인 기반위에 올라가는 기술의 특성상 다른 프로그램들 과의 호환성이 쉽도록 만들어져 있습니다.

    Mist 는 스마트컨트랙을 사용할수 있게 하는 일종의 사용자 인터페이스 프로그램 입니다. 지갑 역활은 일부분이며 그 외에 다양한 스마트컨트랙 기능들을 포함을 하게 되죠.

    그 와중에 지갑의 역활 중 가장 중요한 부분인 암호화 부분이 예상과는 틀렸던 것입니다.

    Mist 는 개인키를 복호화 시킨후에 다시 암호화 시키지 않고 그 정보를 그대로 Geth로 보내는 방식을 취하고 있었습니다. 그래서 중간에서 가로채기 공격이 쉽게 발생하는 것이죠. (그래서 Myetherwallet 같은 경우는 애초부터 이 방식을 취하지 않습니다)

    기존의 코인들 같은 경우는 스마트컨트랙이라는 기능을 쓰지 않기에 동일한 문제점이 없었다고 볼수도 있습니다.

    인터넷 뱅킹을 예로 든것은 Mist 가 사용자 단말의 인터넷 뱅킹 소프트웨어라고 치면 서버와 인증을 할때 애써 만들어놓은 개인 암호를 다시 풀어서 보낸다는것이 문제인 것입니다.

    일반인이 보시기에는 심각성이 떨어질수 있습니다. 그러나 이런 중간 공격에 취약한 제품들은 해킹 사고가 아주 번번하게 일어납니다. 그리고 피해를 입은 그 일반인들은 어디에 하소연할수도 없는것입니다. 어떻게 당했는지 알지조차 못하니까요................그 누구도 도와줄수 없습니다. 피해 원인을 모른다면

    저도 사람인지라 괜히 이야기를 해줬나? 라는 생각이 들기도 했었습니다. 본업때문에 바쁘기도 하고 힘들기도 해서 말입니다.

    그러나 저도 애정을 가지고 봐 왔던 사람으로서 제가 할수 있는 부분에서는 최선을 다해보자는 마음하나로 이렇게 진행을 해왔습니다.

    지갑은 패치가 되고 이런 약점들은 개선이 되어 많은 분들이 좀더 안전한 상황에서 이더리움을 사용하실수 있을것입니다.

    저는 그것으로 족합니다. 더이상 제가 할수 있는 부분이 머가 있을지는 모르겠지만 지금까지의 노력들이 헛되지는 않았다고 생각합니다.
  • 늦게 나마 위로와 공감을 전합니다.... 큰 돈을 잃고, 적반하장의 모욕을 당하셨는데도 대인배로써 침착하게 대응하신 것이 정말 존경스럽습니다. 그리고 커뮤니티분들이 힘을 합쳐서 이더리움의 보안강화를 이끌어 냈다는게 한국인으로써 자랑스럽습니다.
    여전히 이더리움팀의 미진한 대응에 실망과 아쉬움이 있네요. DAO 토큰 판매 기간이라 판매에 악영향을 미칠까봐 일부러 공식적으로 인정을 안한 것 같은데......입 막고 쉬쉬한다고 해결되는 중앙 정부 체제도 아니고 분권화된 참여 조직에서 자신들의 컨셉에 모순되는 대응을 한 것은 정말이지 큰 실수라고 생각합니다. 그동안 마케팅 잘해온 이더리움 팀이 앞으로 뒷일을 어떻게 감당하려고 이렇게 나온 것인지..... 반드시 스타더스트님과 커뮤니티분들이 수고를 인정받고 해킹 당한 이더를 보상 받으리 라고 굳게 믿습니다. 이번 사건을 통해서 이더리움 뿐만 아니라 전체 디지털 화폐가 그토록 강조하고 추구해왔던 분권화가 진정으로 발현될지 지켜보고 싶네요.
  • @CoinClip
    진짜 하고 싶은 말, 핵심을 딱 찍어 주셨네요!
    그렇죠. 마케팅 이런것으로 흥행하고 이런것은 일시적이지만, 문제는 분권화의 정신과 마인드를 정작 실천하지 못하는 닫힌 조직으로의 변화가 참으로 안타깝습니다.
  • ?
    스타더스트님 덕분에 보안 인식을 더 키우게 되었습니다. 스타더스트님의 글을 한 번이라도 읽고 보안 염려하신 분이라면 이번 펀딩에 꼭 참여하시길...
  • ?
    힘내시고요~~한국 코인시장 발전에 많은기여를 해주시길 바랍니다
default debug random = 0 / type = READ / detected = READ

List of Articles
번호 제목 추천 수 조회 수 글쓴이 날짜
18357 미스트 스샷좀 봐주세요 어제 동생집에갔따가 오늘 와서 켜봤는데 모르는 거래가 두개나 있네요.. 이거머죠? 컴퓨터 켜지도않앗는데... 키니까 이렇게 나오네요... ㄷㄷ   헐 머지.. 다시보니 아래 더잇네요.. 어제 접속도안햇느데.. 머죠> 17 file 0 2626
블루베리따로감
2016.05.29
18356 다오 전송안내라고 메일이 왔습니다. 며칠전에 다오 토근을 구매했더니..다오전송안내라는 메일이 왔습니다. 다오 취급하는 타 거래소 지갑주소 또는 개인 외부 지갑 주소로 전송할수 있다는 멘트인데..... 제가 완전한 초보라서... 먼저 다오를 반드시 ... 3 0 2383
소아빠
2016.05.29
18355 dao전송문제..(초보자에요) dao를 poloniex말고 bittrex에다가도 보낼수있나요? 제가 poloniex는 가입안해놔서요. 어디어디에다가 보낼수있나요..? 그리고 보낼때 거래소에 dao지갑주소를 만들고 미스트에서 바로 보내면 되나요? 알려주시면 정... 2 0 2056
rriirr
2016.05.29
18354 lisk 지갑은 없나요? lisk dpos라던데 가만히 넣어두면 이자가 계속 들어오는건지 궁금해서 여쭤봅니다 ㅎㅎ 아직 구현이 안된건지요? 1 0 2435
경제적자유
2016.05.29
18353 DAO Proposal 현황 정리된 사이트   www.dao.report 입니다. 현재 보안관련 모라토리엄 포함해서 12개의 프로포절이 있습니다. 보아하니 20퍼센트 투표가 가능할지도 좀 이문이네요 4 1 4098
호오라
2016.05.30
18352 [코인원] 비트코인 $510 돌파, "中 위안화 약세에 따른 효과" 6월 1주차 비트코인 $510 돌파, "中 위안화 약세에 따른 효과" 지난주 비트코인 가격은 전주 대비 18% 이상 폭발적으로 성장하여 2년 만에 최고가를 경신했습니다. 26일(목)까지 지지선 $440, 저항선 $450 대의 안정... 1 file 1 2364
Coinone
2016.05.30
18351 미스트는 언제 고쳐지는거에요? 오늘도 6건정도 모르는 거래가 뜨네요.. 속도도 엄청느려지고.. 심할정도로 느림 ㅡㅡ 1 0 2132
블루베리따로감
2016.05.30
18350 이더리움 해킹사건 - 여러분의 도움을 기다립니다 Stardust(패트릭)을 돕기위한 모금운동을 시작하며 모금운동 사이트:  http://security7218.org/ stardust 님 (영문이름 패트릭)은 지난 2016년 5월12일 발생한 해킹사건으로 이더리움 초기부터 채굴해왔던 7,218개... 104 file 25 10580
atomrigs
2016.05.30
18349 다들 미스트 블럭 싱크 잘 되시나요? 오랜만에 블럭 싱크할려고 지갑을 돌렸는데,. 싱크가 너무 느리네요.  하루종일 지갑을 껏다 켰다 하고 있는데,. 아직 1/10 도 싱크가 안됬네요.  왜 이렇게 느려졌을까요? 다른 분들은 어떠신가요? 3 0 1478
코인캐는코쟁이
2016.05.31
18348 비트코인 거래소 선택 시 개인지갑과 더불어 거래소도 이용해보려합니다. 거래소 선택과 이용시 유의해야 할 사항이 있으면 답변해주세요 참고도 하고 주변 지인들과 공유하고 싶어서요 7 0 2532
봄날스럽게
2016.05.31
18347 myetherwallet.com - DAO 전송 가능 미스트가 맛이 좀 많이 간듯합니다... ㅎㅎ 여러 사람들의 인내심을 시험하고 있는듯 하네요. 위 사이트에서 전송이 가능하네요. 폴로닉스 DAO 주소로 보내봤는데 잘 됩니다. https://www.myetherwallet.com/#the-dao   6 file 1 2586
텐프로9
2016.05.31
이번 미스트 해킹건에 대한 당사자 개인적 심정 어떤분이 걱정의 말씀을 주셔서 이글을 올립니다.   일부 몇분들이 생각하시기에 "그렇게 취약점을 잘 알면서 왜 당했느냐? 조작을 한것이 아니냐"? 이말을 참 드리기 망설여 졌는데 말씀을 드려야할것 같습니다. 저... 8 15 4613
stardust
2016.05.31
18345 geth JIT VM 무작위 테스트 geth를 켰는데 문득 못보던 문구가 하나 뜨더군요. "You're one of the lucky few that will try out the JIT VM (random). If you get a consensus failure please be so kind to report this incident with the blo... 1 file 1 3847
Memo
2016.05.31
18344 도움 부탁드립니다ㅜ 미스트 문제..(초보입니다) 미스트에서 다오로 이더보내서 구입을 하였습니다. DAO허브 사이트에서 제 미스트 주소를 입력하면 보유 토큰수가 나오는데요, 미스트 지갑에는 이더의 account만 뜨고 DAO는 전혀 보이지 않네요ㅜㅜ DAO를 거래소로 ... 3 0 2353
아라마
2016.06.02
18343 DAO Propose 비트코인 공장을 만듭시다 비트코인의 가장 큰 위험 요소라고 하면 전세계 해시파워의 대부분이 중국에 몰려있다는 점일 것 같습니다. 여기에 대응하기 위해선 전세계의 마이너들이 중국에 대항하여 해시파워를 모아야하는데 승자독식 구조다보... 19 1 4227
널만나
2016.06.04
18342 삭제한 글입니다 삭제한 글입니다 0 1842
강철
2016.06.04
18341 모금운동 - 해외 포스팅 - 좋아요 지원 부탁합니다 stardust 님을 돕기 위한 모금운동의 영문판 업데이트와 함께,  이더리움 해외 포럼에도 올렸습니다. 이미 모금운동에 동참하셨던 분들이라도 방문하셔서 "좋아요" (up vote) 를 눌러 주시면 포스팅이 더 앞에 뜨게 ... 10 14 3412
atomrigs
2016.06.05
18340 [코인원] 비트코인 $600선 코앞, 시장규모 10조원 돌파 6월 2주차 비트코인 $600선 코앞, 시장규모 10조원 돌파 지난주 비트코인은 전주 대비 17% 상승하며 2주째 상승 랠리를 이어가고 있습니다. 지난주 최고가는 $585로 2014년 8월 이후 2년만에 최고치를 경신했습니다.... file 2 2256
Coinone
2016.06.06
18339 요즘 코인시장에 대한 짧은 생각 개인적인 생각을 끄적여봅니다. 최근 코인시장을 보면 과거 알트코인 부흥기가 연상됩니다. 과거에는 비트코인을 카피한 여러 알트들이 우후죽순처럼 생겨났다면 요즘은 이더리움을 타겟으로 한 스마트 컨트랙 알트코... 7 16 3278
조제리
2016.06.06
18338 미스트 지갑 싱크관련해서 도움 요청합니다...ㅠㅠ 안녕하세요~ 항상 여러분의 도움을 받고있는데 이렇게 또 글을 올려 송구스럽습니다.. 다름 아니라 다오를 poloniex에 전송 테스트 해보려고하는데 미스트에서 마지막 블록(?) 캡처에서 1,664,602 번째 블록이 동기화... 4 file 0 2165
daftpunk909
2016.06.08
목록
Board Pagination Prev 1 ... 241 242 243 244 245 246 247 248 249 250 ... 1163 Next
/ 1163
default debug random = 0 / type = READ / detected = READ