traders_free custom_top_html:no
default debug random = 0 / type = READ / detected = READ

어떤분이 걱정의 말씀을 주셔서 이글을 올립니다.  


일부 몇분들이 생각하시기에 "그렇게 취약점을 잘 알면서 왜 당했느냐? 조작을 한것이 아니냐"?


이말을 참 드리기 망설여 졌는데 말씀을 드려야할것 같습니다. 저는 본업이 보안 입니다. 이쪽 계통에서는 전문성을 가지고 오래 일을 해왔습니다.


해킹 당한 7218개의 이더는 제가 취미로 작년 8월부터 시작해서 모은 것입니다. 대다수가 작년에 모인거구요.  저 한테는 단순한 금전적 가치보다 스트레스를 푸는 여가 시간의 취미 생활로 들였던 공이 더욱 크기에  의미가 있습니다. 


미스트 지갑은 원래 사용하지도 않았습니다. 다오를 구매하기 위해 한번 사용을 시작을 했구요. 그러다 그런 사고를 당했습니다.


제가 말씀을 드리고 싶습니다. 아무리 전문성이 있다고 해서 사용하기 전에  모든 프로그램의 취약점을 스스로 분석을 하고 사용을 해야할까요? 


보안을 하는 사람으로서 기본적인 윤리 원칙이 있습니다. 저는 비록 사고를 당하였지만 제가 가진 전문성을 발휘해서 조사하다보니 큰 피해 확산이 생길수 있는 중대 문제로 파악이 되어 이더리움 개발진들에게 즉각 보고를 하여 패치 요청을 하였습니다.   조사 도중 다른 문제들도 파악이 되었습니다. 


그러한 내용들을 전달함에 있어서 기대했던 그들의 대응은 생각과는 달랐습니다. 그들은 빠른 조취를 취하며 지적한 2개의 문제점에 대한 패치를 신속하게 하였습니다.

그러나 실제 문제점을 파악하고 전달한 저에게 보이는 이중적 태도에 실망도 하였습니다.


하지만 그렇다고해서 싸우는게 모든걸 해결할수 있다고 보지는 않습니다. 비록 그들이 인정이나 사과 없이 통보없이 패치 작업을 하였다한들 실제로는 사용자들에게

필요한 부분들은 반영이 되었습니다. 더욱더 말씀 드리면 며칠전 보안 팀 발촉  프로포잘을 시작한것이나 오늘 올라온 cpp-ethereum 에서 지갑을 한번 열면 unlock 이 되는  그런 보안 취약점 발표를 한것만 보아도 그들이 보안 강화를 위하여 얼마나 노력을 하는것인지 방증한다고 볼수 있습니다.

DAO.Security, a Proposal to guarantee the integrity of The DAO

https://blog.slock.it/dao-security-a-proposal-to-guarantee-the-integrity-of-the-dao-3473899ace9d#.qpnpvovma


Security Alert – cpp-ethereum keeps accounts unlocked

https://blog.ethereum.org/2016/05/31/security-alert-cpp-ethereum-keeps-accounts-unlocked/


이런 부분을 십분 이해하시고 도와주시는 @atomrigs님 @안씨아저씨님 @WEBUS님 @어른아이님 모두는 이러한 긍정적이며 중대한 변화를 이끌어낸 피해자면서 기여자가 인정을 받지 못하는점이 너무나도 안타깝다며 저에게 연락을 주시면서 이렇게까지 진행을 하게 되었습니다.  


공감해주시고 도움 주시는 여러분들 너무 감사합니다. 


1

stardust님의 서명

댓글 8
  • 그동안 해킹을 당한 사람은 많습니다.
    stardust 님보다 피해액이 크셧던 분들도 있었구요.
    그런데 왜 이번일에만 나서서 모금활동을 하는가? 라고 생각할수도 있을것 같습니다.
    위와 같은 생각을 하고 계신 분들은 시간이 걸리더라도 아래 링크를 한번만 읽어주셨으면 합니다.

    해킹상황에 대한 설명 -> http://security7218.org/ko/sub_1.html
    해킹사태 후 진행상황에 대한 설명 -> http://security7218.org/ko/sub_2.html
  • ?
    큰 돈을 잃으신데 대해 먼저 안타까운 심정 전합니다.
    커뮤니티 전체가 뭉쳐서 스타더스트님의 명예와 손실 회복을 위해 노력하시는 모습이 참 보기 좋네요
    아래 올라와있는 사건의 개요를 읽어봤습니다.
    물론 그전에도 봤었지만, 단편적으로만 알고 있어 전체적인 내용을 알지는 못했었습니다.
    그렇다고, 잘하지도 못하는 영어게시판을 읽어볼 엄두도 나지 않아서 잘 몰랐었습니다.
    보안 일을 하신다고 하니 원격 데스크탑이 얼마나 위험한지 잘알고 계시리라 봅니다.
    어쩌면 그쪽일을 하시다보니 원격 접속으로 업무를 자주 보신다면 다른이의 컴에 쉽게쉽게 접속하여 작업을 마니 하시다보니 오히려 무감각해지셨을지도 모르겠습니다.
    지적하셨던 두가지 보안상의 취약점은 사실 여기 유저들은 대부분 몰랐을테고 이번 사건을 계기로 한층 보안이 강화되었다니 다행입니다.
    그걸그렇고 저는 IT의 전문가는 아닙니다만, 비트코인의 예를 들겠습니다. 아시겠지만 비트코인 같은 경우는 지갑자체에 애초부터 암호가 없는 것도 많이 있습니다.
    한마디로 내 PC나 스마트폰의 보안이 뚫린다면 언제나 도난의 우려가 있는것이죠.
    그리고, 패스워드의 암호화에 대해서는 인터넷 뱅킹이랑은 비교하기는 힘들듯합니다. 인터넷 뱅킹은 패스워드를 은행으로 송신하여야만 하므로 패킷을 훔쳐본다면 패스워드가 노출될 수 있기에 암호화를 반드시 해야합니다만,
    개인지갑의 경우는 인터넷을 통해 패스워드를 송수신할 필요가 없기때문에 암호화를 하고 안하고는 선택사항으로 판단됩니다.
    이런 글 남기기가 참 망설여지지만 그냥 개인 의견일 뿐입니다. 송구스럽네요
  • @널만나
    지적 하신것처럼 , 암호화폐가 마켓캡이 점점 커지는 만큼, 지갑보안에 대해서는 보완이 많이 필요함을 체감했습니다.
    우리나라 은행프로그램 activex 때문에 X지 같이 불편하다 생각하지만, 이런 경우를 이번에 추적해보니, 때로는 그것이 필요하겠다는 느낌이들어서, 저도 개발자 출신이지만, 다시 한번 생각하게 되었습니다.
  • @널만나
    송구하실 필요 없습니다. 제가 조금 설명을 더 드리겠습니다.

    이쪽 계통 이기에 남의 PC를 조사한다는 것은 더욱더 해서는 안되는 일이며 엄격하게 금지가 되어있습니다. 절대로 해서는 안되는 일입니다.
    만약 조사를 한다 하더라도 철저한 법적 제도 안에서 시행을 해야 합니다.

    Geth 자체의 암호 알고리즘은 훌륭합니다 개인키를 keystore 안에서 보관하고 적용하는것은 훌륭하죠. 다른 여타 코인들과 틀린점은
    스마트컨트랙이라는 블럭체인 기반위에 올라가는 기술의 특성상 다른 프로그램들 과의 호환성이 쉽도록 만들어져 있습니다.

    Mist 는 스마트컨트랙을 사용할수 있게 하는 일종의 사용자 인터페이스 프로그램 입니다. 지갑 역활은 일부분이며 그 외에 다양한 스마트컨트랙 기능들을 포함을 하게 되죠.

    그 와중에 지갑의 역활 중 가장 중요한 부분인 암호화 부분이 예상과는 틀렸던 것입니다.

    Mist 는 개인키를 복호화 시킨후에 다시 암호화 시키지 않고 그 정보를 그대로 Geth로 보내는 방식을 취하고 있었습니다. 그래서 중간에서 가로채기 공격이 쉽게 발생하는 것이죠. (그래서 Myetherwallet 같은 경우는 애초부터 이 방식을 취하지 않습니다)

    기존의 코인들 같은 경우는 스마트컨트랙이라는 기능을 쓰지 않기에 동일한 문제점이 없었다고 볼수도 있습니다.

    인터넷 뱅킹을 예로 든것은 Mist 가 사용자 단말의 인터넷 뱅킹 소프트웨어라고 치면 서버와 인증을 할때 애써 만들어놓은 개인 암호를 다시 풀어서 보낸다는것이 문제인 것입니다.

    일반인이 보시기에는 심각성이 떨어질수 있습니다. 그러나 이런 중간 공격에 취약한 제품들은 해킹 사고가 아주 번번하게 일어납니다. 그리고 피해를 입은 그 일반인들은 어디에 하소연할수도 없는것입니다. 어떻게 당했는지 알지조차 못하니까요................그 누구도 도와줄수 없습니다. 피해 원인을 모른다면

    저도 사람인지라 괜히 이야기를 해줬나? 라는 생각이 들기도 했었습니다. 본업때문에 바쁘기도 하고 힘들기도 해서 말입니다.

    그러나 저도 애정을 가지고 봐 왔던 사람으로서 제가 할수 있는 부분에서는 최선을 다해보자는 마음하나로 이렇게 진행을 해왔습니다.

    지갑은 패치가 되고 이런 약점들은 개선이 되어 많은 분들이 좀더 안전한 상황에서 이더리움을 사용하실수 있을것입니다.

    저는 그것으로 족합니다. 더이상 제가 할수 있는 부분이 머가 있을지는 모르겠지만 지금까지의 노력들이 헛되지는 않았다고 생각합니다.
  • 늦게 나마 위로와 공감을 전합니다.... 큰 돈을 잃고, 적반하장의 모욕을 당하셨는데도 대인배로써 침착하게 대응하신 것이 정말 존경스럽습니다. 그리고 커뮤니티분들이 힘을 합쳐서 이더리움의 보안강화를 이끌어 냈다는게 한국인으로써 자랑스럽습니다.
    여전히 이더리움팀의 미진한 대응에 실망과 아쉬움이 있네요. DAO 토큰 판매 기간이라 판매에 악영향을 미칠까봐 일부러 공식적으로 인정을 안한 것 같은데......입 막고 쉬쉬한다고 해결되는 중앙 정부 체제도 아니고 분권화된 참여 조직에서 자신들의 컨셉에 모순되는 대응을 한 것은 정말이지 큰 실수라고 생각합니다. 그동안 마케팅 잘해온 이더리움 팀이 앞으로 뒷일을 어떻게 감당하려고 이렇게 나온 것인지..... 반드시 스타더스트님과 커뮤니티분들이 수고를 인정받고 해킹 당한 이더를 보상 받으리 라고 굳게 믿습니다. 이번 사건을 통해서 이더리움 뿐만 아니라 전체 디지털 화폐가 그토록 강조하고 추구해왔던 분권화가 진정으로 발현될지 지켜보고 싶네요.
  • @CoinClip
    진짜 하고 싶은 말, 핵심을 딱 찍어 주셨네요!
    그렇죠. 마케팅 이런것으로 흥행하고 이런것은 일시적이지만, 문제는 분권화의 정신과 마인드를 정작 실천하지 못하는 닫힌 조직으로의 변화가 참으로 안타깝습니다.
  • ?
    스타더스트님 덕분에 보안 인식을 더 키우게 되었습니다. 스타더스트님의 글을 한 번이라도 읽고 보안 염려하신 분이라면 이번 펀딩에 꼭 참여하시길...
  • ?
    힘내시고요~~한국 코인시장 발전에 많은기여를 해주시길 바랍니다
default debug random = 0 / type = READ / detected = READ

List of Articles
번호 제목 추천 수 조회 수 글쓴이 날짜
6137 [질문] 폴로닉스에서 코인원으로 보냈는데... 금요일 아침에 보냈는데 아직도 확인이 안되네요.. 어디서 문제인건지.. 입금 지연이 이렇게도 오래 걸리나요? 코인원에는 메일도 보냈는데 답변은 없고, 전화는 매번 연결 안되고.. 초보라서 블록체인을 봐도 어느쪽... 6 file 0 960
코코아
2017.09.04
6136 [질문] 주소, public key, private key는 어떻게 생성하나요? public key는 어떻게 생성하나요? 저의 추측은... 현재 시각을 nonce로 포함시킨 난수를 발생시키지 않을까 하는데... 혹시 아시는 분 계신가요? 또,  private key는 위의 public key를 hash 처리해서 만들 것 같다는... 8 0 1489
drjoon
2014.07.01
6135 [질문] 잭팟 지갑 켜 놓은지 몇시간 만에 stake가 잡히나요? 아침부터 지금까지 켜 놔도 stake가 잡히질 않습니다. 이게 일정 시간이 지나야 잡히는 건가요? 아니면 켜자 마자 잡히는 건가요? 아침에 120만개 잡혀 있던거 지갑  블럭 데이터 지우고 다시 받으니,  0 이 됬는데, ... 2 0 960
코인캐는코쟁이
2014.07.15
6134 [질문] 잭팟 stake 값은 자동으로 설정 되는 것인가요? 잭팟 지갑에 stake 라고 표시되고 120만개 정도 표시되어 있었습니다. 그리고 오른쪽 하단에 곡괭이 모양에 마우스 오버 하면 , 현재 weight 와 남은 어닝 타임이 표시 됩니다. 방금 전까지만해도, 웨이트가 120만에,... 3 0 1066
코인캐는코쟁이
2014.07.15
6133 [질문] 엑셀 API-빗썸 개인지갑 정보 설정? https://www.bithumb.com/u1/US127 우선 빗썸 API관련 정보는 위 주소에 나와 습니다. API라는걸 처음접하는데, 엑셀을 자주쓰는 편이라 구글링통해서 검색하면서 공부중입니다.   그래서, 아래 Public 주소를 이용하... 2 file 0 2432
ch9ok
2017.09.04
6132 [질문] 비트코인에 대해 문의 드립니다. 덕분에 잘 해결했습니다. ^^     ------------------------------------- 꼬리말 * 게시글 내용 삭제시 레벨 강등 * 질문은 각 주제별 게시판에.   비트코인 암호화화폐 커뮤니티 땡글~ 땡글~ ----------------------... 11 0 720
Kim12
2018.01.30
6131 [질문] 비트코인 공개키(public key) 배포는 어떻게 하는지요? 먼저 감사드립니다. 비트코인에 대해서 정확히 모르기 때문에 우매한 질문이 될 수 있습니다. 이해 부탁 드릴께요.(_._) 비트코인 거래 시, 송금자가 공개하는 것은 자신의 비트코인 주소인 것으로 알고 있습니다. 그... 5 0 6718
그린세상
2014.06.25
6130 [질문] 비트멕스 ROE관련 문의   열심히 트레이딩하는거보다 하나 정해놓고 존버하는게 더 수익이 나는거 같아서 자산 대부분 존버하고  그냥있기 모하니깐 비트멕스 끄적이고있는데요. 오늘 처음 비트멕스 가입하고,  비트멕스에서 마진거래 연습... 3 file 0 2080
유노
2017.12.15
6129 [질문] 비둘기 지갑에 예약 금액보다 더 큰 금액을 입금 시키면 ????? ㅠㅠ 예약금액은 백만원으로 해놓고 실제 입금 금액을 삼백만원 입금 시켜버리면 어떻게 되나요?   비둘기 지갑에 문의는 해놓은 상태이지만 답변이 늦어서....이것 참....ㅡ,.=;;;   갑자기 왜 이런 실수를 했는지 알수가... 1 0 1749
아무도
2021.02.18
6128 [질문] 민팔에 있는 잭팟코인을 제지갑으로 보냈는데 지갑에 잡히지 않습니다.(해결완료) 민팔에 있는 잭팟코인을 제 지갑으로 보냈는데 지갑에 잡히지 않습니다.  지갑버전은 1.41 입니다. 업그레이드 후에 원래 지갑에 있는 잔고도 잡히고 동기화가 다 끝난 상태인데  20분전에 보낸 코인이 잡히지 않네요... 3 0 1384
코이너스
2014.07.23
6127 [질문] 미스트에서 다오로 출금하려고 합니다. 어제는 출금이 원활히 이뤄졌습니다. 오늘 오후 5시에 미스트를 통해 다오로 이더를 옮겼습니다. 비밀번호까지 입력하고 진행했는데 Main balance는 보내기전 그대로이고 Filter transaction은 마이너스로 나오네요. ... 2 0 2182
relive
2016.05.02
6126 [질문] 라이트코인을 여러명의 지갑으로 보내줘야합니다.   채굴된 코인을 5~6명의 지갑주소로 10일정도 하루에 한번씩 보내줘야합니다.   채굴풀은 litecoinpool.org이고, 제 전자지갑은 빗썸에서 만들어 두었습니다.   빗썸에서 코인출금수수료가 0.01LTC 더라구요.    0.0... 6 0 1513
논동초보
2017.10.02
6125 [질문] https://polouiex.com ? *** 답변 댓글이 있을 때 글 내용 삭제시 경고 없이 계정이 정지됩니다. *** *** 개인정보가 포함된 경우 혹은 불법적인 요소의 수정은 가능합니다.*** -----------------------------------------------------------... 3 0 1129
Btime
2017.06.27
6124 [질문] AllCrypt에서 만든 잭팟코인, 지갑에서 동기화방법 안녕하세요? 뒤늦게 관심을 갖고 가입한 초보입니다. 위에 그림처럼, 지갑에 있는 balace가 표시되지 않습니다. 1. 계좌주소를 AllCrypt에서 만들었습니다. (아마 Atomrigs님의 글을 보고 만들었던 것 같습니다) 2. Q... 2 file 0 2347
예서아빠
2014.06.07
6123 [질문] 1.4ver 지갑 POS마이닝만 언락시 이자 입금되나요? 제목 그대로 질문입니다. 1.4 버전 이전까지 거래소에 맡겨뒀다가, 1.4 버전부터 지갑으로 일부 옮겼는데... 3일째 소식이 없네요. POS마이닝만 언락해놓은 상태인데, 이 상태로 이자 처리가 정상적으로 되나요? 8 0 1471
1BTC
2014.07.14
6122 [질문-궁금] 업비트 채결창 보면 이런데.... 이거 정상 아니지요?     업비트 채결창 보면 이런데.... 이거 정상 아니지요?   어떤 경우 이렇게 되는건가요? ㅠ                       ------------------------------------- 꼬리말 * 게시글 내용 삭제시 레벨 강등 * 질문은 각 주... 3 file 1 1332
아크마DK
2019.04.25
6121 [지급완료] 잭팟코인 777 이벤트!! 안녕하세요~ 요즘들어 댓글만 달다가 오랜만에 글 올려봅니다~ 잭팟코인 주도하시는 많은 고래분들께서 이벤트 하시는걸 보고 저도 한번 따라해봅니다. 잭팟코인 이름 그대로 잭팟 단 한분께 드립니다. 전 돌고래축에... 38 1 1900
creatune
2014.06.05
6120 [지갑사용 참고사항/건의] 비밀번호를 한글/영문으로 입력한 것을 따로 인식합니다. 보통 다른 사이트의 비밀번호 입력의 경우, 시스템의 언어 상태와 상관없이 무조건 영문만 받던데, 잭팟코인 1.3버전 맥용(언오피셜)의 경우에 비밀번호 입력할 때 한글이면, 한글로 받는지 영문으로 설정해놓은 비번... 7 0 888
1BTC
2014.06.14
6119 [쥬지스님의 단기파동] 수~목   .   지난 글에서 비트 2570만 이하로 빠질가능성이 크고   2500만 찍으면 7퍼센트 매수 노린다켓쥬.   운좃게 딱 2500만 찍고 반등햇네유 글 쓰는 지금은 2637만인디   벌써 전고점 부근까지 올라왔쥬..   그치만 ... file 1 2694
나무나무9
2020.12.23
6118 [쥬지스님의 단기파동] 분석중... 이게 머선일이고? 리플 빠진거봐라   비트 분석 후 결과 올리겟음니다                   0 2672
나무나무9
2020.12.24
목록
Board Pagination Prev 1 ... 852 853 854 855 856 857 858 859 860 861 ... 1163 Next
/ 1163
default debug random = 0 / type = READ / detected = READ