[update] 이더리움 해킹 진행 사항- 미스트 월렛은 가급적 쓰지 마십시요,

stardust

5279 7 38

진행 사항이 궁금하신 분들이 여럿 쪽지 주셔서 이렇게 글을 씁니다.

현재 미스트 개발팀에서는 뚜렷한 대응이 없는 상황입니다. 그래서 지켜보고 있습니다..

안씨아저씨와 대화를 하다 더욱 심각한 문제를 찾았는데 RPC는 큰 문제도 아닐 문제가 있는데 IPC가 더 큰 문제입니다.

IPC로도 똑같은 방식의 해킹이 가능하며 이런 류의 해킹툴을 제작해서 배포하는것은 너무나도 쉬운 문제이기 때문에 일반 지갑 이용자들도

크나큰 위험에 빠질수 있는 상황이었습니다.

미스트 개발자들 이런식의 몰라라 하는식의 대응 굉장히 무책임해 보입니다.

아래는 제가 일반 유저들같이 미스트 월렛만 실행시키고 간단한 스크립트를 사용해 제 지갑을 해킹한 시연 동영상 입니다.

https://www.youtube.com/watch?v=PNSwFy__m-8&feature=youtu.be

❤️ 7

🤔

글쎄요

stardust님의 서명

Facebook Twitter Pinterest

댓글로 가기 위로 아래로

댓글 38

?

뚝배기된장국 2016.05.16 06:22

질문드려봅니다.
비번을 모를경우는 불가능한 경우죠?

❤️ 🤔
stardust 2016.05.16 10:32

@뚝배기된장국
그렇습니다.

❤️ 🤔
?

예티 2016.05.16 10:43

@stardust
ipc가 접근됐다면 비번을 몰라도 unlockAccount한 상황에서는 털릴 수 있습니다.
확실해지기 전까지는 geth attach는 쓰면 안되겠군요.

❤️ 🤔
?

예티 2016.05.16 06:35

그런데 제가 잘 몰라서 그러는데 정상적인 환경에서 ipc가 외부로 오픈 되나요?

❤️ 🤔
?

땡칠98 2016.05.16 08:20

피드백받은내요 증거자료등 만드신 해킹동영상등을 일단준비하시구 호의적으로 안나오면 시나리오 가동하세요 자본주의사회에서 가만히있어받자 병신취급당하니깐 특히 서구사회는 냉정합니다 더욱더. 보안에 취약한 지갑만들어서 지들만 자산불리구 무반응한다면 이건아니죠 수많은 투자자들이 지켜보구있는데 조속한해결이 나기를 바랍니다 그것도 아니면 매스컴에서 터트린후 뒤에바로붙으세요 gatecoin 건으로도 조용한데 185000개 이더인가요 비트도있구 ,이건그냥 묻혀서 돈한푼 못받을수도있죠 참고로 저도투자자입니다

❤️ 🤔
stardust 2016.05.16 10:43

@땡칠98
저도 gatecoin건이 이렇게 조용한게 의아합니다...

❤️ 🤔
?

코인캐는코쟁이 2016.05.16 09:11

대응이 미적지근 하다면 극단적인 자구책을 사용하는 방법도 가능해 보이는군요.

❤️ 🤔
?

예티 2016.05.16 09:44

ipc가 노출된 상황이라면 geth attach에서 unlockAccount하는 것도 위험한데 사실 ipc가 뚫린 상태라는 건 이더리움을 떠나서 그 시스템 보안 자체가 심각하게 문제 있는 것 아닌가요?

이건 어지간한 방화벽들은 막아주지 않을까 싶은데 어떻게 생각하시는지요.

❤️ 🤔
stardust 2016.05.16 10:41

@예티
중요한 말씀 하셨습니다. 게스자체가 위험합니다. 사실 저런 공격은 백그라운드로 얼마든지 정상적인 프로세스처럼 만들어서 멀웨어로 배포 가능하다는게 핵심입니다. 그리고 방화벽이 있다한들 사용자가 눈치채지 못하게 감영되는 경우는 부지기수 입니다.

❤️ 🤔
?

예티 2016.05.16 10:50

@stardust
멀웨어 감염이 되면 ipc가 털릴 수 있긴 한데 방화벽에서 경고뜰 때 블락하면 될 것 같습니다. 애시당초 확실하지 않은 다운로드 파일은 실행하거나 설치하지 않고 크롬과 파폭에서 의심사이트로 블락하는 곳도 접속안하면 위험은 크게 떨어집니다.

❤️ 🤔
stardust 2016.05.16 11:09

@예티
말씀하신 부분같이 멀웨어는 보통 사이트 접속만으로도 감염이 될수 있는데 크롬이나 파폭에서 의심사이트를 막는 기능은 없습니다. AV 백신같은 에이전트 기반의 제품이 보통은 signature 나 url 의 reputation을 보고 막을수는 있겠죠. 허나 그것은 이미 소스가 밝혀진후에 사후 대응에 지나지 않습니다. 일반적인 방화벽 제품들도 마찬가지고요. 예로 들어 스피어피싱도 생각해볼수도 있는데 만약 이런 스크립트가 들어간 word 파일같은것이 첨부되어 와서 열어보면 윈도우즈 같은 경우 powershell script가 실행되는 시나리오도 생각해볼수 있습니다.
이런 경우는 속수 무책으로 당할수가 있습니다.

일반적인 사용자들은 사실 이런저런 보안에 대해서는 까막눈이 경우가 대반사인데 이렇게 트랜잭션이 허무하게 탈취되는 경우가 너무나 취약한게 문제 입니다.

❤️ 🤔
안씨아저씨 2016.05.16 11:41

@예티
더욱 더 큰 문제는 불과 1~2줄의 간단한 Batch file script 으로도 똑같은 기능을 구현할수있다는 것입니다.
좀 크거나, 특별한 exe 가 필요하다면, 그나마, spyware로 checking 될텐데 말입니다.
그렇다 해도, 현재 geth 의 해당부분 구조가 (개발자관점으로) 상당히 bulky 하여서 2차 보안을 할수가 없는것입니다.

❤️ 🤔
?

예티 2016.05.16 11:52

@안씨아저씨
트랜잭션 전에 unlock을 무조건 해야하기 때문에, 이때 ipc로 접근이 가능하면 지갑의 모든 권한이 쉽게 다 털리는 건 맞는데 그런 가정은 지나친 거 아닐까요?

❤️ 🤔
안씨아저씨 2016.05.16 11:55

@예티
일반적인 사람일때는 지나치다 볼수있는데,
hacker 는 시스템에 malware 던 어떤 형태로던 침투 가능하다 봅니다.
침투했다 해도, 큰 SW 실행파일이나, 시스템을 건드는 경우라면 detect 이 쉽게 되고, 방어책도 빠른데,
지금같이 특별한 SW없이 command 만 몇줄 실행하게 상주 시키면 spyware로 잡기 어렵죠.

❤️ 🤔
atomrigs 2016.05.16 09:59

미스트 개발진의 보다 더 신속하고 책임감있는 대응이 있기를 바랍니다.

그런데 위의 비디오가 Json rpc 공격을 재연한 것인가요? 아니면 ipc 공격인가요?
그리고 일반 유저들처럼 미스트를 실행하고 공격하셨는다고 했는데, rpc를 켜지 않았다는 것인지요?

❤️ 🤔
stardust 2016.05.16 10:33

@atomrigs
미스트 월렛만 실행한 상태에서 ipc로 공격한 내용입니다. rpc는 당연히 꺼진 상태고요.

❤️ 🤔
?

훼니 2016.05.16 10:02

동영상 잘 봤습니다. IPC로 캡처가 되는 부분도 심각하지만 mist에서 처리 하지 않은 트랜잭션은 이력관리 되지 않는 것도 심각하네요. geth, mist 모두 개선이 되야겠습니다..

❤️ 🤔
신피질 2016.05.16 10:51

mist가 docker위에서 실행되는 것 아닌가요? 그렇다면, 근본적인 sandbox나 ssl관련 암호화가 있을듯하구요
(RPC나 IPC 자체는 당연히 해킹을 당할수 있는 것일듯합니다)
아마도 정확한 취약점및 방어 코드를 내놓기까지는 시간이 걸릴듯합니다.
그리고, 이러한 공격에 지속적으로 탐지및 방어에 대하여 대응하는 팀이 있어야 하지 않을까요?

❤️ 🤔
stardust 2016.05.16 12:08

@신피질
지금 같은 경우는 요청한 single transaction 에만 unlock하는 기능만 있었어도 이런일은 발생 안했을겁니다. 이더리움 개발팀 많이 반성해야합니다..

❤️ 🤔
안씨아저씨 2016.05.16 11:09

ipc 로 공격가능한 시나리오는 이미 세우고 있었습니다.
그 가능성을 어제 밤부터 stardust (Patrick) 과 같이 확인하였고,
mist 실행하지 않더라도, unlockAccount 된 순간에 ipc 를 통한 똑같은 방식으로 공격이 너무도 쉽게 가능합니다.

SW적으로 문제를 정리하자면,
geth 자체에서 API 처리하는 방식에 있어서 근본적인 문제가 있었고, rpc 열고 , mist 를 실행시 hijack 당하여 그런 문제를 확인할수있었던 것입니다.

geth 내부의 security Risk 가 드러난것입니다.

그 가정에서 컴퓨터 에 침입한후 아주 간단한 script 으로 IPC 로 해도 똑같이 된다는것이 확인된것입니다.
굳이 스크립트도 아닙니다.
command 한줄로도 똑같은 hijack 상황을 만들수 있습니다.

즉, geth 의 취약점이 있는데, mist 가 도와준것입니다.

해킹 가능성에 대한 검토는 hacker 는 우리가 모르는 Hall 을 알고 있다는 가정에서 출발합니다.
단순히 RPC 를 껏냐? 켰나? 이게 중요한 문제는 아닙니다.

❤️ 🤔
?

예티 2016.05.16 11:50

@안씨아저씨
글쎄요 보안전문가가 아니라서 잘은 모르지만 ipc로 털리는 상황을 가정하는 것은 지갑 파일 복사되고 키로거로 패스워드도 탈취되는 것을 상정하는 것과 비슷하지 않을까 싶습니다.

❤️ 🤔
안씨아저씨 2016.05.16 11:58

@예티
그럴려면, 위에서 얘기했듯이, 상당한 프로그램들이 필요합니다.
그리고, 해커한명이 쉬운 방법을 찾아내어서 security bulletin 이나 이런 쪽에 지들끼리 공유되면 쉽게 공격가능합니다.

지금 문제는 그게 따로 특별한 툴이 필요없다는데 있습니다.
뚫고 들어오는거 막는게 1차 방어선이면, 2차 는 SW 자체가 보안에 취약하지 않아야 하는데, 지금 그렇지 않다는것에 문제가 있습니다.

❤️ 🤔
stardust 2016.05.16 12:06

@예티
만약 geth가 하나의 transcation 즉 먼저 요청한 transaction 에 대해서만 unlock 되도록 코드만 되있어도 이런 문제는 없을껍니다. 한마디로 unlock되면 누구라도 injection 할수 있다는게 말이 안된다는거죠..... sw가 너무 보안에 취약합니다.

❤️ 🤔
?

예티 2016.05.16 12:22

@stardust
이때 문제는 dapp 구동할 때 트랜잭션이 계속 이뤄져야 하는 경우 지속적으로 unlock 상태여야 된다는 것입니다.

❤️ 🤔
?

예티 2016.05.16 12:42

@stardust
ipc로 침입 가능하다고 가정하면 해커가 먼저 트랜잭션을 수행할 수도 있지 않나요?

❤️ 🤔
stardust 2016.05.16 14:33

@예티
그래서 일종의 실 사용자 validation 프로세스가 있어야 하는데 그게 없는거죠.

❤️ 🤔
?

기술체인지 2016.05.16 12:27

비탈릭이 패트릭 연봉10만이더에 스카웃한답니다 ㅎㅎ. 우스개 소리이지만 그랬음 좋겠습니다. 무반응이 아니고 지금쯤 내부적으로 난리낫을거에요. 보안사항이니 공개적으로 대 놓고 말못하는거겠지요. 시장에서의 혼란때문에 어떡하든 최우선적으로 해결을하지 않을까 싶네요. 해결되면 꼭 패트릭님 잃어 버린돈 플러스 알파 받을 수 있도록 메일 계속 보낼께요. Btc뉴스에는 이미 기사 나갔어요. 이번 패트릭건 관련해서요. 재단에서 무대응하는척하는거지. 절대 무대응이 아닐겁니다 근데 전 myetherwallet쓰는데 그건 문제가 없는건가요? 아님 똑같은 문제가 있는건지요?

❤️ 🤔
stardust 2016.05.16 14:34

@기술체인지
문제는 본인들도 알고 있는데 이런 중대 취약점을 계속 숨기고 있었다는 겁니다. 마이이더월렛은 private key에 직접 엑세스해서 sign 한 tx를 날리는 구조라서 이 문제가 안나온거죠. 그래도 근본적으로는 geth에 문제가 있습니다. 하드포크를 하든 해서 이렇게 쉽게 코인이 뺏기는 일은 없도록 만들어야죠

❤️ 🤔
?

마이애미킴 2016.05.16 15:06

제가 기술적인건 전혀 모릅니다. 그냥 지금까지 올리신 글들 읽으면서 통밥으로 이해하고 있습니다.
1. 해킹이 처음 1eth 시험삼아 보낼때 그 2초 사이에 이루어진거죠? 그 다음 2000이더 상당을 보내려할때 해킹이 이루어진게 아니죠?
2. 이것을 처리하기 위해서 하드포크까지 해야할 사항인가요?

❤️ 🤔
stardust 2016.05.16 17:15

@마이애미킴
1.첫번째 트랜잭션에서는 털린게 아닙니다. 트랜잭션이 일어나는것을 모니터링 하다가 그후에 전체 수량을 넣은 json 메시지를 넣어서 2번째에 털어낸것으로 보고 있습니다.
2. 요지는 geth 에서 ipc 처리 방식이 너무 오픈되있어서 이런 간단한 취약점에도 속수무책이라는거죠.

❤️ 🤔
WEBUS 2016.05.16 15:28

짧은 휴가 기간동안 계속 신경이 쓰여서 눈팅했었는데요
Mist 보안 취약점이 분명한 사항이면 피해에 대한 직접적인 보상이 아니라도 치명적인 버그를 발견하고 제보한것에 대한 보상이라는 측면에서 이더리움 재단의 어느정도 움직임이 필요할것 같은데요.
한국 커뮤니티에서라도 관련하여 이더리움 재단의 책임있는 자세를 요구하는 서명운동 같은거라도 해야하는거 아닌지......

❤️ 🤔
안씨아저씨 2016.05.16 17:34

@stardust , 지금 개선 patch 에 대해서 논의중이네요. daohub 한번 보세요.

❤️ 🤔
stardust 2016.05.16 17:41

@안씨아저씨
예 보았는데 제가 사고 당하고나서 클레임 한후 새로운 method를 만들고 있었네요..... 아무런 언급은 없고 말이죠..

https://github.com/ethereum/go-ethereum/pull/2564

❤️ 🤔
안씨아저씨 2016.05.16 17:51

@stardust
signedAndsendTransaction() API 를 급하게 만드는중인데,
이미 myetherwallet 에 있는 offline TX 를 쓰는게 좋겠다는 식의 hint 를 써 주었죠.
얘네들도 지금 멘붕에 헤메고 있는것 같아요. 어쨎거나 개선은 될것 같은데..

https://forum.daohub.org/t/urgent-buying-dao-using-mist-has-hacked/1742/121?u=trustfarm

❤️ 🤔
안씨아저씨 2016.05.16 17:56

내일은 못하고 몇일을 그냥 날리네요. ㅎㅎㅎ
그래도, 잘 해결되었으면 좋겠네요.

❤️ 🤔
stardust 2016.05.16 18:00

@안씨아저씨
내 일처럼 신경 써주셔서 감사합니다. 조만간 찾아뵙고 인사드리겠습니다.

❤️ 🤔
안씨아저씨 2016.05.16 18:01

@stardust
잘 만 되면야, 술한잔은 거하게 얻어먹을라고 했는데... ㅎㅎㅎ
그래도, 밥이라도 한끼 먹읍시다. 이것도 좋은 인연인데..

❤️ 🤔
stardust 2016.05.16 18:10

@안씨아저씨
당연지사 그래야죠 :-) 좀더 거하게 술한잔 해드릴수 있도록 실날같은 희망도 걸어봅니다.

❤️ 1 🤔

에디터 선택하기

✔ 텍스트 모드 ✔ 에디터 모드

트레이더스

List of Articles
번호	제목	추천 수	조회 수	글쓴이	날짜
18441	DApp 같이 개발해보실분 찾아요 안녕하세요. 이더리움이나 리스크 플랫폼 위에 DApp을 하나 만들려고 해요. 필요한 개발자는 프런트엔드, 백엔드, UX정도로 나눌수 있을거 같고 다음주나 다다음주에 자산운용사쪽에 아는 지인 통해 미팅을 잡았어요...	0	2041	bitcoinuserx	2016.05.16
18440	[코인원] 스위스 금융 도시 추크, "비트코인으로 세금 받는다" 5월 3주차 스위스 추크, "비트코인으로 세금 받는다" 스위스 중북부에 위치한 소도시 추크주(Zug)가 공공 서비스 요금에 비트코인 결제를 시범적으로 받겠다고 밝혔습니다. 지역 주민들은 오는 7월 1일부터 올해 말... 1	1	2644	Coinone	2016.05.16
18439	ethereum hardware 지갑에 대한 forum comments. 일부 오자,탈자도 있으니, 감안해서 보시기 바랍니다. 댓글은 안달겠습니다. EricLarch 2h trustfarm The screen 2FA prevent hijacking of transaction. The HW requires you to check the transaction on a trust...	0	1522	안씨아저씨	2016.05.16
	[update] 이더리움 해킹 진행 사항- 미스트 월렛은 가급적 쓰지 마십시요, 진행 사항이 궁금하신 분들이 여럿 쪽지 주셔서 이렇게 글을 씁니다. 현재 미스트 개발팀에서는 뚜렷한 대응이 없는 상황입니다. 그래서 지켜보고 있습니다.. 안씨아저씨와 대화를 하다 더욱 심각한 문제를 찾았는데 ... 38	7	5279	stardust	2016.05.16
18437	미스트는 당분간 안쓰는걸로... 미스트는 현재로써는 위험한 것 같네요. 임시방법을 생각해봤는데, 언락과 보내기가 동시에 이뤄지는게 아니라 순차적이라 어떻게든 위험한 것 같네요. 9	0	3179	1BTC	2016.05.16
18436	이더리움 노드 실행할 때 미스트 쓰지 마세요 geth를 직접 geth --ipcdisable 해서 쓰거나 parity로 실행하세요. 그리고 ethereum 디렉토리 아래의 history 파일은 지우시기 바랍니다. 스택익스체인지에 누가 친절하게 설명해줬네요. http://ethereum.stackexchan... 2	3	4021	예티	2016.05.16
18435	이더리움 직불카드 안녕하세요? 신용카드만큼 범용성을 가지는 이더리움 비트코인 직불카드가 있었으면 하는 생각을 늘 하는 사람입니다. 현재 거래소들이 있으니 거래소와 연동한다면 결제금을 법정통화로 돌려주는것은 어렵지 않을듯 ... 9	0	4263	코파시	2016.05.16
18434	[update] 이더리움 개발진들이 패치를 만드는 중이네요.... 제가 사건 리포트한 이후로... 아래의 새로운 method 를 개발중이네요... PrivateAccountAPI.SignAndSendTransaction https://github.com/ethereum/go-ethereum/pull/2564 다시 담배를 물며 생각을 합니다.... 이걸 ... 23	2	4664	stardust	2016.05.16
18433	다. . 15	0	2466	강철	2016.05.17
18432	다오에 대한 댄 라리머의 글 비트쉐어에서의 경험을 토대로 쓴 글입니다. 저도 언급된 현상들을 같이 지켜봤기 때문에 공감이 많이 되네요. 투표 무관심, anti-spending 등은 다오가 해결해야 할 과제 같습니다. https://steemit.com/crypto-new... 103	6	6922	조제리	2016.05.17
18431	DAO 리펀드 방법이 있나요? 기간, 방법에 대해서 아시는 분 부탁드려요.비중 조정이 필요해서요 감사합니다. 4	0	2986	또치	2016.05.17
18430	DAO 언제든지 ether로 환불가능하다고 알고있는데 제가 DAO를 구매하기 위해 보냈던 총 ether갯수 그대로 돌려 받는거 아닌가요? 그런 기능으로 split이라고 있더라고 하더라구요 전 이렇게 알고 있는데 왜 사람들이 프리세일 끝난 후 DAO가 프리세일 가격보다 떨어지... 5	0	4001	못다한꿈	2016.05.17
18429	[코인원]이더/DAO 채팅방 오픈 했습니다. 안녕하세요 코인원입니다. 현재 코인원의 프로차트 채팅에서 https://coinone.co.kr/chart/ 이더와 DAO에 대한 열띤 토론이 이어지고 있습니다. 실시간 채팅으로 평소에 궁금해 하셨던 내용을 여쭤보셔도 되고 어떤... 10	0	4457	Coinone	2016.05.17
18428	미스트가 실행이 안되요, 며칠전에만해도 됐었는데 오늘 실행하는데 실행이 안되네요..ㅠ.ㅠ 윈도우64비트입니다. 키스토어백업해둔게있어서..지우고 다시깔아봤지만 지갑자체가 구동을 안해요 컴알못이라 이유를 모르겠어요 프로그램이 실행... 3	0	1897	처음만난날	2016.05.17
18427	빗썸에도 쓸만한 자료가 있군요 제가 늘 쓰는 말을 대변하는 자료가 있어서요. 하라는 공부는 안하고 ...... 1.원본 2.움짤버전 3.패륜아버전 4.어머니버전 3	0	2671	atomrigs	2016.05.18
18426	미스트 지갑 한글 번역 마지막 감수 이더리움 미스터 지갑 한글판 풀리퀘스트를 보냈습니다. 다시한번 훑어보시고 수정이 필요한 부분을 지적해주세요. 미스트쪽과 meteor 쪽 둘다 매우 비슷한데 조금 다릅니다. https://github.com/ethereum/meteor-dap... 21	3	3564	atomrigs	2016.05.18
18425	[update] 미스트 보안 업데이트 릴리즈 되었네요. 진행 사항이 궁금하고 걱정하시는 분들이 많으셔서 업데이트 드립니다. 아래 미스트 7.4 보안 업데이트 버전이 9시간 전에 나왔습니다. https://github.com/ethereum/mist/releases/tag/0.7.4 보안 업데이트에 대한 ... 17	15	3045	stardust	2016.05.18
18424	개발자 계속 찾습니다. 많이 필요합니다. 자바스크립트 기반 Lisk위에 올리기로 결정했습니다. AI와 스마트 계약을 접목하여 현실판 스카이넷이 궁극적인 목적입니다.(반농담임) 연락주세요. 같이 미래를 바꿉시다.	0	2473	bitcoinuserx	2016.05.18
18423	이더 많이 올랐네요. 예전에 차트 그린거 위에 현재 차트를 올려봤습니다. 아직 갈길은 멀지만... 많이 회복했네요! 처음글 http://www.ddengle.com/index.php?mid=bitcointrading&page=2&document_srl=1175311 14	8	4055	1BTC	2016.05.18
18422	DAO에 대하여 질문드립니다 다오에 투자한 이더는 소멸성인가요? 아니면 스타트기업에 투자가 되어 다시 시장에 매각하여 투자가 되는 건가요? 기술체인지 님과 아톰님이 자세히 설명해주신거 같은데 무식하다보니 한번더 여쭙니다 1	0	1637	임징	2016.05.18

[update] 이더리움 해킹 진행 사항- 미스트 월렛은 가급적 쓰지 마십시요,

stardust님의 서명

트레이더스

땡글 로그인