어떤분이 걱정의 말씀을 주셔서 이글을 올립니다.
일부 몇분들이 생각하시기에 "그렇게 취약점을 잘 알면서 왜 당했느냐? 조작을 한것이 아니냐"?
이말을 참 드리기 망설여 졌는데 말씀을 드려야할것 같습니다. 저는 본업이 보안 입니다. 이쪽 계통에서는 전문성을 가지고 오래 일을 해왔습니다.
해킹 당한 7218개의 이더는 제가 취미로 작년 8월부터 시작해서 모은 것입니다. 대다수가 작년에 모인거구요. 저 한테는 단순한 금전적 가치보다 스트레스를 푸는 여가 시간의 취미 생활로 들였던 공이 더욱 크기에 의미가 있습니다.
미스트 지갑은 원래 사용하지도 않았습니다. 다오를 구매하기 위해 한번 사용을 시작을 했구요. 그러다 그런 사고를 당했습니다.
제가 말씀을 드리고 싶습니다. 아무리 전문성이 있다고 해서 사용하기 전에 모든 프로그램의 취약점을 스스로 분석을 하고 사용을 해야할까요?
보안을 하는 사람으로서 기본적인 윤리 원칙이 있습니다. 저는 비록 사고를 당하였지만 제가 가진 전문성을 발휘해서 조사하다보니 큰 피해 확산이 생길수 있는 중대 문제로 파악이 되어 이더리움 개발진들에게 즉각 보고를 하여 패치 요청을 하였습니다. 조사 도중 다른 문제들도 파악이 되었습니다.
그러한 내용들을 전달함에 있어서 기대했던 그들의 대응은 생각과는 달랐습니다. 그들은 빠른 조취를 취하며 지적한 2개의 문제점에 대한 패치를 신속하게 하였습니다.
그러나 실제 문제점을 파악하고 전달한 저에게 보이는 이중적 태도에 실망도 하였습니다.
하지만 그렇다고해서 싸우는게 모든걸 해결할수 있다고 보지는 않습니다. 비록 그들이 인정이나 사과 없이 통보없이 패치 작업을 하였다한들 실제로는 사용자들에게
필요한 부분들은 반영이 되었습니다. 더욱더 말씀 드리면 며칠전 보안 팀 발촉 프로포잘을 시작한것이나 오늘 올라온 cpp-ethereum 에서 지갑을 한번 열면 unlock 이 되는 그런 보안 취약점 발표를 한것만 보아도 그들이 보안 강화를 위하여 얼마나 노력을 하는것인지 방증한다고 볼수 있습니다.
DAO.Security, a Proposal to guarantee the integrity of The DAO
https://blog.slock.it/dao-security-a-proposal-to-guarantee-the-integrity-of-the-dao-3473899ace9d#.qpnpvovma
Security Alert – cpp-ethereum keeps accounts unlocked
https://blog.ethereum.org/2016/05/31/security-alert-cpp-ethereum-keeps-accounts-unlocked/
이런 부분을 십분 이해하시고 도와주시는 @atomrigs님 @안씨아저씨님 @WEBUS님 @어른아이님 모두는 이러한 긍정적이며 중대한 변화를 이끌어낸 피해자면서 기여자가 인정을 받지 못하는점이 너무나도 안타깝다며 저에게 연락을 주시면서 이렇게까지 진행을 하게 되었습니다.
공감해주시고 도움 주시는 여러분들 너무 감사합니다.
stardust 님보다 피해액이 크셧던 분들도 있었구요.
그런데 왜 이번일에만 나서서 모금활동을 하는가? 라고 생각할수도 있을것 같습니다.
위와 같은 생각을 하고 계신 분들은 시간이 걸리더라도 아래 링크를 한번만 읽어주셨으면 합니다.
해킹상황에 대한 설명 -> http://security7218.org/ko/sub_1.html
해킹사태 후 진행상황에 대한 설명 -> http://security7218.org/ko/sub_2.html