traders_free custom_top_html:no
default debug random = 1 / type = READ / detected = READ

어떤분이 걱정의 말씀을 주셔서 이글을 올립니다.  


일부 몇분들이 생각하시기에 "그렇게 취약점을 잘 알면서 왜 당했느냐? 조작을 한것이 아니냐"?


이말을 참 드리기 망설여 졌는데 말씀을 드려야할것 같습니다. 저는 본업이 보안 입니다. 이쪽 계통에서는 전문성을 가지고 오래 일을 해왔습니다.


해킹 당한 7218개의 이더는 제가 취미로 작년 8월부터 시작해서 모은 것입니다. 대다수가 작년에 모인거구요.  저 한테는 단순한 금전적 가치보다 스트레스를 푸는 여가 시간의 취미 생활로 들였던 공이 더욱 크기에  의미가 있습니다. 


미스트 지갑은 원래 사용하지도 않았습니다. 다오를 구매하기 위해 한번 사용을 시작을 했구요. 그러다 그런 사고를 당했습니다.


제가 말씀을 드리고 싶습니다. 아무리 전문성이 있다고 해서 사용하기 전에  모든 프로그램의 취약점을 스스로 분석을 하고 사용을 해야할까요? 


보안을 하는 사람으로서 기본적인 윤리 원칙이 있습니다. 저는 비록 사고를 당하였지만 제가 가진 전문성을 발휘해서 조사하다보니 큰 피해 확산이 생길수 있는 중대 문제로 파악이 되어 이더리움 개발진들에게 즉각 보고를 하여 패치 요청을 하였습니다.   조사 도중 다른 문제들도 파악이 되었습니다. 


그러한 내용들을 전달함에 있어서 기대했던 그들의 대응은 생각과는 달랐습니다. 그들은 빠른 조취를 취하며 지적한 2개의 문제점에 대한 패치를 신속하게 하였습니다.

그러나 실제 문제점을 파악하고 전달한 저에게 보이는 이중적 태도에 실망도 하였습니다.


하지만 그렇다고해서 싸우는게 모든걸 해결할수 있다고 보지는 않습니다. 비록 그들이 인정이나 사과 없이 통보없이 패치 작업을 하였다한들 실제로는 사용자들에게

필요한 부분들은 반영이 되었습니다. 더욱더 말씀 드리면 며칠전 보안 팀 발촉  프로포잘을 시작한것이나 오늘 올라온 cpp-ethereum 에서 지갑을 한번 열면 unlock 이 되는  그런 보안 취약점 발표를 한것만 보아도 그들이 보안 강화를 위하여 얼마나 노력을 하는것인지 방증한다고 볼수 있습니다.

DAO.Security, a Proposal to guarantee the integrity of The DAO

https://blog.slock.it/dao-security-a-proposal-to-guarantee-the-integrity-of-the-dao-3473899ace9d#.qpnpvovma


Security Alert – cpp-ethereum keeps accounts unlocked

https://blog.ethereum.org/2016/05/31/security-alert-cpp-ethereum-keeps-accounts-unlocked/


이런 부분을 십분 이해하시고 도와주시는 @atomrigs님 @안씨아저씨님 @WEBUS님 @어른아이님 모두는 이러한 긍정적이며 중대한 변화를 이끌어낸 피해자면서 기여자가 인정을 받지 못하는점이 너무나도 안타깝다며 저에게 연락을 주시면서 이렇게까지 진행을 하게 되었습니다.  


공감해주시고 도움 주시는 여러분들 너무 감사합니다. 


1

stardust님의 서명

댓글 8
  • 그동안 해킹을 당한 사람은 많습니다.
    stardust 님보다 피해액이 크셧던 분들도 있었구요.
    그런데 왜 이번일에만 나서서 모금활동을 하는가? 라고 생각할수도 있을것 같습니다.
    위와 같은 생각을 하고 계신 분들은 시간이 걸리더라도 아래 링크를 한번만 읽어주셨으면 합니다.

    해킹상황에 대한 설명 -> http://security7218.org/ko/sub_1.html
    해킹사태 후 진행상황에 대한 설명 -> http://security7218.org/ko/sub_2.html
  • ?
    큰 돈을 잃으신데 대해 먼저 안타까운 심정 전합니다.
    커뮤니티 전체가 뭉쳐서 스타더스트님의 명예와 손실 회복을 위해 노력하시는 모습이 참 보기 좋네요
    아래 올라와있는 사건의 개요를 읽어봤습니다.
    물론 그전에도 봤었지만, 단편적으로만 알고 있어 전체적인 내용을 알지는 못했었습니다.
    그렇다고, 잘하지도 못하는 영어게시판을 읽어볼 엄두도 나지 않아서 잘 몰랐었습니다.
    보안 일을 하신다고 하니 원격 데스크탑이 얼마나 위험한지 잘알고 계시리라 봅니다.
    어쩌면 그쪽일을 하시다보니 원격 접속으로 업무를 자주 보신다면 다른이의 컴에 쉽게쉽게 접속하여 작업을 마니 하시다보니 오히려 무감각해지셨을지도 모르겠습니다.
    지적하셨던 두가지 보안상의 취약점은 사실 여기 유저들은 대부분 몰랐을테고 이번 사건을 계기로 한층 보안이 강화되었다니 다행입니다.
    그걸그렇고 저는 IT의 전문가는 아닙니다만, 비트코인의 예를 들겠습니다. 아시겠지만 비트코인 같은 경우는 지갑자체에 애초부터 암호가 없는 것도 많이 있습니다.
    한마디로 내 PC나 스마트폰의 보안이 뚫린다면 언제나 도난의 우려가 있는것이죠.
    그리고, 패스워드의 암호화에 대해서는 인터넷 뱅킹이랑은 비교하기는 힘들듯합니다. 인터넷 뱅킹은 패스워드를 은행으로 송신하여야만 하므로 패킷을 훔쳐본다면 패스워드가 노출될 수 있기에 암호화를 반드시 해야합니다만,
    개인지갑의 경우는 인터넷을 통해 패스워드를 송수신할 필요가 없기때문에 암호화를 하고 안하고는 선택사항으로 판단됩니다.
    이런 글 남기기가 참 망설여지지만 그냥 개인 의견일 뿐입니다. 송구스럽네요
  • @널만나
    지적 하신것처럼 , 암호화폐가 마켓캡이 점점 커지는 만큼, 지갑보안에 대해서는 보완이 많이 필요함을 체감했습니다.
    우리나라 은행프로그램 activex 때문에 X지 같이 불편하다 생각하지만, 이런 경우를 이번에 추적해보니, 때로는 그것이 필요하겠다는 느낌이들어서, 저도 개발자 출신이지만, 다시 한번 생각하게 되었습니다.
  • @널만나
    송구하실 필요 없습니다. 제가 조금 설명을 더 드리겠습니다.

    이쪽 계통 이기에 남의 PC를 조사한다는 것은 더욱더 해서는 안되는 일이며 엄격하게 금지가 되어있습니다. 절대로 해서는 안되는 일입니다.
    만약 조사를 한다 하더라도 철저한 법적 제도 안에서 시행을 해야 합니다.

    Geth 자체의 암호 알고리즘은 훌륭합니다 개인키를 keystore 안에서 보관하고 적용하는것은 훌륭하죠. 다른 여타 코인들과 틀린점은
    스마트컨트랙이라는 블럭체인 기반위에 올라가는 기술의 특성상 다른 프로그램들 과의 호환성이 쉽도록 만들어져 있습니다.

    Mist 는 스마트컨트랙을 사용할수 있게 하는 일종의 사용자 인터페이스 프로그램 입니다. 지갑 역활은 일부분이며 그 외에 다양한 스마트컨트랙 기능들을 포함을 하게 되죠.

    그 와중에 지갑의 역활 중 가장 중요한 부분인 암호화 부분이 예상과는 틀렸던 것입니다.

    Mist 는 개인키를 복호화 시킨후에 다시 암호화 시키지 않고 그 정보를 그대로 Geth로 보내는 방식을 취하고 있었습니다. 그래서 중간에서 가로채기 공격이 쉽게 발생하는 것이죠. (그래서 Myetherwallet 같은 경우는 애초부터 이 방식을 취하지 않습니다)

    기존의 코인들 같은 경우는 스마트컨트랙이라는 기능을 쓰지 않기에 동일한 문제점이 없었다고 볼수도 있습니다.

    인터넷 뱅킹을 예로 든것은 Mist 가 사용자 단말의 인터넷 뱅킹 소프트웨어라고 치면 서버와 인증을 할때 애써 만들어놓은 개인 암호를 다시 풀어서 보낸다는것이 문제인 것입니다.

    일반인이 보시기에는 심각성이 떨어질수 있습니다. 그러나 이런 중간 공격에 취약한 제품들은 해킹 사고가 아주 번번하게 일어납니다. 그리고 피해를 입은 그 일반인들은 어디에 하소연할수도 없는것입니다. 어떻게 당했는지 알지조차 못하니까요................그 누구도 도와줄수 없습니다. 피해 원인을 모른다면

    저도 사람인지라 괜히 이야기를 해줬나? 라는 생각이 들기도 했었습니다. 본업때문에 바쁘기도 하고 힘들기도 해서 말입니다.

    그러나 저도 애정을 가지고 봐 왔던 사람으로서 제가 할수 있는 부분에서는 최선을 다해보자는 마음하나로 이렇게 진행을 해왔습니다.

    지갑은 패치가 되고 이런 약점들은 개선이 되어 많은 분들이 좀더 안전한 상황에서 이더리움을 사용하실수 있을것입니다.

    저는 그것으로 족합니다. 더이상 제가 할수 있는 부분이 머가 있을지는 모르겠지만 지금까지의 노력들이 헛되지는 않았다고 생각합니다.
  • 늦게 나마 위로와 공감을 전합니다.... 큰 돈을 잃고, 적반하장의 모욕을 당하셨는데도 대인배로써 침착하게 대응하신 것이 정말 존경스럽습니다. 그리고 커뮤니티분들이 힘을 합쳐서 이더리움의 보안강화를 이끌어 냈다는게 한국인으로써 자랑스럽습니다.
    여전히 이더리움팀의 미진한 대응에 실망과 아쉬움이 있네요. DAO 토큰 판매 기간이라 판매에 악영향을 미칠까봐 일부러 공식적으로 인정을 안한 것 같은데......입 막고 쉬쉬한다고 해결되는 중앙 정부 체제도 아니고 분권화된 참여 조직에서 자신들의 컨셉에 모순되는 대응을 한 것은 정말이지 큰 실수라고 생각합니다. 그동안 마케팅 잘해온 이더리움 팀이 앞으로 뒷일을 어떻게 감당하려고 이렇게 나온 것인지..... 반드시 스타더스트님과 커뮤니티분들이 수고를 인정받고 해킹 당한 이더를 보상 받으리 라고 굳게 믿습니다. 이번 사건을 통해서 이더리움 뿐만 아니라 전체 디지털 화폐가 그토록 강조하고 추구해왔던 분권화가 진정으로 발현될지 지켜보고 싶네요.
  • @CoinClip
    진짜 하고 싶은 말, 핵심을 딱 찍어 주셨네요!
    그렇죠. 마케팅 이런것으로 흥행하고 이런것은 일시적이지만, 문제는 분권화의 정신과 마인드를 정작 실천하지 못하는 닫힌 조직으로의 변화가 참으로 안타깝습니다.
  • ?
    스타더스트님 덕분에 보안 인식을 더 키우게 되었습니다. 스타더스트님의 글을 한 번이라도 읽고 보안 염려하신 분이라면 이번 펀딩에 꼭 참여하시길...
  • ?
    힘내시고요~~한국 코인시장 발전에 많은기여를 해주시길 바랍니다
default debug random = 0 / type = READ / detected = READ

List of Articles
번호 제목 추천 수 조회 수 글쓴이 날짜
공지 [공동구매] 디센트 지문인증형 지갑 + OTG 케이블 (9/26~10/3 한정수량 100개) file 1021
공구관리자
2022.09.26
5094 미스트지갑에서 etc 찾고싶습ㄴ다 미스트 지갑 또는 마이이더 왈렛에서  ETC를 찾고싶습니다     자세히좀  부탁드립니다.    송금하고 입금하고   프로그램 만질때마다 두렵네요. 한번실수로  소중한 자산이 사라질까봐서    ...         7 1 2848
나빌래라
2016.07.29
5093 [코인원] 이더리움 클래식(ETC) 거래소 오픈     안녕하세요. 코인원에서 이더리움(ETH) 거래소에 이어 이더리움 클래식(ETC) 거래소를 오픈함을 알려드립니다. 지난 7월 26일, 코인원은 공지를 통해 ETC를 BTC로 환전하는 시스템을 운영하며 시장 상황을 주시하... 16 0 3893
Coinone
2016.07.28
5092 Poloniex 입출금 방식 폴로닉스에서 코빗으로 ETH를 보내려는데 코빗은 Account방식의 입출금만 지원된다고 하더군요. Contract방식의 입출금은 지원이 안된다는데 폴로닉스의 출금 방식이 Account인지 Contract인지 어떻게 확인할 수 있을... 1 0 3257
rnlcksgrp
2016.07.28
5091 수수료와 블록체인 컨펌에 관한 질문 입니다 거래수수료 0.00069433 BTC 로 송금을 했는데 5시간째 0컨펌에서 머물고 있네요.. 그리 작은 수수료라고 생각하진 않는데..블록체인을 통한 거래가 일상적이진 않아 익숙치 못해 의문이 생깁니다.   보통 0컨펌으로 ... 3 0 3417
panoplie
2016.07.28
5090 폴로니엑스 질문하고자합니다. ETH 제주소 0x4D8Bb78d4C0442185E0189bF984EDA8e4af3e17d 에서  폴로주소 0x9e5f6baf2e32937e7388bcdb3c7d42700adcc126 요걸로 입금했는데 입금 확인이 30분이 넘게 안되구있는데 어디가서 알아봐야할까요?   고수님... 10 0 5459
로얄패밀리
2016.07.28
5089 폴로닉스 거래소 보이콧 세상에 살면서 백프로 합일점이 어딨나요? 그래도 세상이 묵언의 약속처럼 지켜온 다수결이 많은 혼돈을 막아왔지요 솔직히 반대 의견이 완전히 나빠서 배제되는 경우는 적습니다 단지 흐름에 동조함으로 혼란을 막고... 7 6 2310
코람데오
2016.07.28
5088 스팀잇 한국어 컨텐츠 태그 안내   안녕하세요, 조제리입니다. 다행히도 스팀잇이 활발해지고 있고, 그에 다라 비영어권 글들도 많이 올라오고 있습니다. 한국어도 몇몇 카테고리가 있지만 글이 많이 분산되는 감이 없잖아 있습니다. 그래서 당분간은... 8 3 6663
조제리
2016.07.27
5087 [문의]코빗에서 폴로닉스로 etc 출금했는데 폴로닉스 etc지갑에 etc가 안들어오네요. 말 그래도 코빗에서 폴로닉스로 etc를 출금하였습니다. 코빗에서는 출금 완료됐다고 뜨는데요.... 폴로닉스 etc지갑에는 1시간이 지나도 들어오지 않네요.... (그런데 다른 얘기일 수 있지만, 전에는 폴로닉스에서 가... 8 0 9203
얌시
2016.07.27
5086 ETC - 리플레이(replay) 공격 주의 하드포크 이전에 ETH 를 가지신 분들은 같은 양의 ETC를 받을 수 있는데 (일부 거래소에서는 안됨), 매우 주의해야 할 사항이 있습니다. 리플레이 공격입니다.   ETH 와 ETC 체인이 둘다 똑 같은 프로토콜을 사용하고... 11 2 5707
atomrigs
2016.07.27
5085 ETC 에 대한 비탈릭의 의견 비탈릭이 블로그와 레딧에 최근의 ETC 의 등장에 대한 글들을 올렸습니다. 자세한 번역을 하려다 보니 자꾸 미루게 되었네요.   https://blog.ethereum.org/2016/07/26/onward_from_the_hard_fork/ https://www.reddi... 16 11 6431
atomrigs
2016.07.27
5084 [초보] 마치 살모사가 제 어미를 잡아 먹는 듯 하는 느낌.... 안녕하세요?   초보 마이너 쿠당코당입니다...ㅋㅋ   eth와 etc를 보면서 마치 살모사가 제 에미를 잡아 먹는 듯 한 느낌을 받네요.   사실 폴로닉스와 코인원 이런데 관심도 없었고, 일단 마이닝이나 정상적으로 잘 ... 3 0 2390
쿠당코당
2016.07.27
5083 이제 코인원에서 ETC 잔고 확인 가능합니다.   안녕하세요. 코인원입니다.   저희가 앞서 말씀드렸던 일정대로, 오늘 ETC 잔고 확인 페이지를 열었습니다.   https://coinone.co.kr/etc/ 위 주소로 들어오시면 확인 가능하십니다.   사이트 메인에 배너도 만들어... 8 file 3 2183
Coinone
2016.07.27
5082 [초보]비트코인 재색인중 밸런스 관련 질문입니다. 안녕하세요? 초보 코인인(정청래씨 같네요 ^^) 쿠당코당입니다. 이번에는 비트코인 지갑관련해서 궁금한 사항이 생겨서 질문드리러 왔습니다. 비트코인 코아 지갑을 자꾸 열었다 닫았다 하다가 블럭을 재 색인하는 과... 4 0 1481
쿠당코당
2016.07.27
5081 AMD 주가가 날라가네요 올 2월에 이더리움 채굴로 인한 수요증가와 새로운 AMD GPU 와 CPU 출시 계획을 보고 AMD 에 투자를 했었습니다. 두차례 포스팅을 했었습니다.   http://www.ddengle.com/bitcointrading/1120575 http://www.ddengle.... 8 file 7 3984
atomrigs
2016.07.27
5080 야피존 코페이 지갑에서 비트코인을 보내려 하니 The transaction could not be created: Insufficient funds 가 뜨는데 어떻게 해야 하나요? 0 1911
umix
2016.07.27
5079 ETC 가격에 대한 개인적인 생각 ETC의 폴로닉스 상장으로 제일 큰 피해를 받아야 하는것은 ETH입니다. ETH의 하드포킹에 반대하여 나온게 ETC 이니까요.   그런데 지금 ETH의 가격을 보면 ETC 상장후에 떨어지긴 했지만 생각보다는 크게 하락하지 않... 12 7 3527
WEBUS
2016.07.26
5078 하드포크 이후 폴로에서 전송된 이더에는 etc가 없다 제가 하드포크가 끝나고 바로 다음날 폴로에서 천개의 이더를 국내 거래소에 보냈습니다. 포크의 여파로 몇시간 동안 전송이 확인되지 않아 거래소에 확인 전화를 해도 기다리시라는 답변만 받았지요 그리고 몇일이 ... 0 1563
코람데오
2016.07.26
5077 다오리펀드 할 때 이더리움이 필요 한가요? 어프루브를 클릭하면 팝업창이 뜨는데 비번 넣고 센드 트랜잭션 클릭하면 개스가 부족하다고 뜨고 진행이 안됩니다. 이더리움을 충전해 놓아야 하는지요?   1 file 0 1756
베러댄
2016.07.26
5076 공짜로 ETC얻기 - (전문가만 가능합니다) 준비물 1. ip 가 다른 두개의 pc. 2. 잔고가 있는 이더 개인키. pc1에서 이더 개인키를 넣고 geth 1.4.10을 fork 지원으로 실행합니다. pc2에서 이더 개인키를 넣고 geth 1.4.10을 fork 미지원으로 실행합니다. 이 pc... 11 4 5801
쌍둥아빠
2016.07.25
5075 사고를 치고 말았네요. 미스트 최신버전으로 업그레이드 할 때 구 버전을 삭제 하고 해야 합니까? 그냥 최신버전만 새로 설치 하면 되는 건가요? 신버전을 설치하면 구버전에 있는 이더리움이 그대로 따라 오는지도 알려 주세요. 업그레이드... 13 file 0 3640
베러댄
2016.07.25
목록
Board Pagination Prev 1 ... 852 853 854 855 856 857 858 859 860 861 ... 1111 Next
/ 1111
default debug random = 0 / type = READ / detected = READ