traders_free custom_top_html:no
default debug random = 1 / type = READ / detected = READ

제가 몇일전 제기한 스팀잇 해킹과 관련된 질문에 대해서 여전히 정확한 답들을 찾지 못하고 있습니다.

http://www.ddengle.com/bitcoinshare/1317731

 

물론 스팀잇 운영진이 제 글에 직접 답을 달아주리라 기대는 안했지만, 다른 글에서 구체적인 내용이 다루어질 줄 알았는데 의외로 해킹의 구체적인 내용에 대한 관심을 찾아보기 힘들군요. 이걸 dpos 의 장점이라고 해야할지 뭐라 해야할지 아직은 좀 조심스럽지만,  비트코인, 이더리움, 또는 다른 블럭체인 커뮤니티 논의구조와는 정말 마인드셋 자체가 많이 틀린 것 같습니다. 

 

그래서 스팀잇의 소스를 보니 하드포킹 준비가 한참이군요. 아마도 현재 상태로는 해킹 재발방지가 힘들다고 보고 어카운트 프라이빗키에 관련된 새로운 솔루션을 들고 나온 것 같습니다. 해킹당한 어카운트 리스트도 소스에 보이는군요.

 

https://github.com/steemit/steem/blob/7a2990efb39a2f21c3194e5f0fae9c0e48d7f7b8/libraries/chain/hardfork.d/0_9.hf

 

dan, dantheman, ned 등 steemit, inc 의 CEO, CTO 어카운트도 들어있네요.

 

"aeico",
  "aenor",
  "aizensou",
  "albertogm",
  "alibaba",
  "alyssas",
  "amartinezque",
  "amazon",
  "animalrobot",
  "arsahk",
  "arwani-wawan",
  "auxon",
  "b0y2k",
  "binwah-de-rese",
  "bitcube",
  "blackjincrypto",
  "boatymcboatface",
  "boy",
  "bravenewcoin",
  "bryner",
  "btcturbo",
  "bu328281",
  "bue",
  "bue-witness",
  "bunny",
  "cheftony",
  "chhayll",
  "chitty",
  "chryspano",
  "citibank",
  "cmtzco",
  "coinbitgold",
  "coinfund",
  "complexring",
  "cyrano.witness3",
  "dahaz159",
  "dan",
  "dantheman",
  "daycrypter",
  "dragonslayer109",
  "dulila",
  "ebay",
  "elyaque",
  "estin",
  "expanse",
  "fanie-vanhoten",
  "felipemachado",
  "fex",
  "fishayley",
  "fminerten1",
  "gabbans",
  "gatoso",
  "gazm",
  "gottahaveit",
  "graavor",
  "gregm",
  "grumpymutt",
  "gtg",
  "hcf27",
  "hello",
  "hipster",
  "hsbc",
  "ibnu",
  "ihashfury",
  "ikigai",
  "jacor",
  "james1337",
  "jamie",
  "john-kimmel",
  "jpmorgan",
  "justiciar",
  "kaptainkrayola",
  "karen13",
  "kevinwong",
  "kingofchaos",
  "lighthil",
  "linouxis9",
  "loewan",
  "luiz-marchi",
  "lux",
  "marcelhattingh",
  "mathiasbaer",
  "mauricemikkers",
  "mexbit",
  "mikemiziner",
  "mldorton",
  "mynameisbrian",
  "ned",
  "ned-scott",
  "news",
  "nicolaswsk",
  "norbu",
  "nuno-nutcrusherz",
  "omarb",
  "omarbitcoin",
  "opengas",
  "ossama-benjohn",
  "owdy",
  "ozmaster",
  "ozzy-vega",
  "pal",
  "penambang",
  "pierregi",
  "pwlaslo",
  "qamarpinkpanda",
  "recursive",
  "reddit2steem",
  "rimantas",
  "rok-sivante",
  "rseixas",
  "samuel-stone",
  "samupaha",
  "schro",
  "sebastien",
  "signalandnoise",
  "simoneighties",
  "slocum",
  "softbank",
  "sonzweil",
  "spartako",
  "stan",
  "steem-id",
  "steemit1",
  "steemitblog",
  "steempower",
  "steemychicken1",
  "str11ngfello",
  "streemian",
  "streetstyle",
  "summon",
  "teatree",
  "techemist",
  "the-alien",
  "thecryptodrive",
  "thegoodguy",
  "tonykent",
  "top10",
  "trevonjb",
  "troller",
  "trung81",
  "ukon",
  "val",
  "vippero",
  "walmart",
  "windsok",
  "wingz",
  "world",
  "worldfamous",
  "yan-kovalenko",
  "zebbra2014",
  "zer0sum"

 

 

이미 시행한 어카운트를 해커로 부터 되뺏아온 트랜잭션들은 하드포크가 필요없었나요?

좀 소스를 상세히 훑어 봐야 뭐가 어떻게 돌아가고 있는지 알 수 있을 것 같네요.

 

하여간 자신의 스팀어카운트가 위에 있으면, 해킹당한 것이 100% 맞는 것이니, 새로 패스워드가 리셋되었을(될) 것이고, 만일 위에 해당되지 않는데도 불구하고 해킹되었다고 믿는다면, steemit, inc 에 보고하면 해결해줄 겁니다.

 

 

2

atomrigs님의 서명

 

한국이더리움 사용자 그룹: https://www.facebook.com/groups/ethereumkorea/

블로그:  https://www.facten.co.kr/news/articleList.html?sc_sub_section_code=S2N13&view_type=sm

 

댓글 8
  • ?
    정보 감사합니다.
    하드 포크가 일상화되는 것이 아닌지 모르겠네요..
    음,,왜이러는지... 저에게는 하드포크는 망조의 출발로 보이는데요..
  • 해킹이후 벌써 3번의 하드포크가 있었네요.

    STEEMIT_HARDFORK_0_9_TIME 1468454400 // 2016-07-14T00:00:00 UTC
    STEEMIT_HARDFORK_0_10_TIME 1468584000 //2016-07-15T12:00:00 UTC
    STEEMIT_HARDFORK_0_11_TIME 1468767600 // 2016-07-17T15:00:00 UTC

    스팀잇 유저중에 하드포크가 있었다는 걸 아는 사람이 몇명이나 될지 궁금하군요.
    형식상으로는 steemit, inc 와 20여개의 witness 노드가 p2p 관계라고 할지는 모르겠지만, 현실적으로 외부에서 그렇게 이해해 줄 사람이 얼마나 될지도 모르겠습니다.

    사실 스팀잇의 일반유저들에게는 이게 블럭체인 베이스인지, p2p 서비스인지, 탈중앙화 어쩌구 하는 개념들은 전혀 거의 필요가 없는 개념들이겠지요. 자기가 포스팅한 글들이 파운더들과 고래들의 마음에 들면 돈번다는게 제일 중요한 포인트겠지요.
  • ?
    @atomrigs
    정성스런 글, 잘 보고 있습니다.
  • ?
    저는 스팀이 가상화폐, 블록체인, 탈중앙화...

    이런것과는 약간 다르게 돌연변이??? 아니면 가면을 쓰고 나타났다라고 생각하고 처음부터 접근을 하였습니다. 아톰님께서 지적하신 마지막 문장이 핵심인거 같습니다.

    뭐랄까.. 페이스북이나 트위터같은 회사인데, 초기에 엔젤투자자들을 모집해서 시작한것 같은느낌이에요.

    그렇다고 투자금을 받은게 있는것도 아닌데... 비탈릭처럼 프리세일을 한것도 아니고...

    어떤 이슈로 급등을 한지도 저는 잘 모르겠구요. 향후 인플레가 예상되는데도 코인가격은 저점대비 10배정도 상승...

    떨어질지 올라갈지는 어느누가 알겠습니까?

    결국 자본주의의 원리대로 시장이 정답이니 지켜보면 알겠죠...

    해킹사건이후로 저 자신의 무지함과 안일함을 되새김질할수있었습니다. 여러가지로 도움을 주신 아톰님과 조제리님 감사합니다~
  • ?
    steemit 이번 해킹사고와 관련해서 CEO가 내놓은 해명을 보면 참 너무나 변명에만 급급한게 아닌지 생각이 들더군요. 특히 다른 포춘 500대 기업에서도 맞닥드리고 있는 문제라고 언급한 부분에서는 더더욱.

    'We have consulted with and hired highly credentialed security experts to help us implement these solutions.'
    위와같은 구체적인 기술적 명시없는 미사여구는 누구나 할 수 있는거구요.

    이번 해킹사고가 client side의 문제였다고 설명한다면 십중팔구 XSS취약점을 이용해서 계정의 session token을 탈취할 수 있었고 session token만으로도 시스템상 계정액세스가 가능했단이야긴데,
    XSS취약점은 요즘 유머 커뮤니티에서도 보기 힘든 오래된 취약점입니다.. 물론 개발과정에서 부주의로 발생할 수 있긴하겠지만 위에서 언급한것처럼 보안전문가로 부터 자문을 받았음에도 불구하고 이러한 문제가 발생했다는건 위의 언급을 무색하게 만드는거죠.
    session token만으로 지속적인 계정 액세스가 가능한 부분도 심각한 보안 결함입니다. 이건 server side 취약점이네요.

    사생활이 담기는 SNS고 더불어 화폐까지 물려서 돌아가는 시스템이라면 적어도 이런 수준의 보안레벨로 돌아가선 안된다고 생각이 듭니다.
  • ?

    스팀잇에는 아래와 같은 발표를 했네요..


    "스팀의 블럭체인과 서버는 해킹되지 않았다. 해커는 브로우저-사이드의 취약점을 이용해 해킹했다."
    "The Steem blockchain was never hacked. Likewise, our servers were never hacked. Instead, the hacker exploited browser-side vulnerabilities"

  • ?
    @loum
    Browser-side 취약점이라도 결국에 account 관련 처리는 서버에서 해주는 것이기때문에 Server취약점이 있었던거라고 봐야겠죠
  • ?
    @woung717
    네.. 그렇겠네요..
default debug random = 0 / type = READ / detected = READ

List of Articles
번호 제목 추천 수 조회 수 글쓴이 날짜
5306 이더리움 하드포크에 따른 코인원 ETH/ETC입출금 정지 안내 (오후 7시~)   안녕하세요. 코인원입니다. 이더리움 관련 중요한 공지라 땡글에도 같이 올립니다. 이전에 올린 공지에서 하드포크 블록수가 변경되어, 예정 일정이 변경되었습니다. 아래 저희 거래소 공지내용을 붙여드리니, 하드... 0 2446
Coinone
2016.10.17
5305 방금 폴로닉스에서도 NXT의 ARDOR 코인 거래 시작 Bittrex에 이어 폴로닉스에서 거래 시작되며 가격이 0.000025BTC에서 0.000035로 상승했네요. 1 0 1906
leftsword
2016.10.17
5304 [Coinone] $640 돌파: 위안화·파운드 약세에 치솟는 비트코인   10월 3주차 $640 돌파: 위안화·파운드 약세에 치솟는 비트코인   지난 11일(화) 비트코인은 최저가 $615.87에서 4% 이상 올라 3개월 만에 $640선을 돌파했습니다. 이후 아래로 소폭 밀린 후 지지선 635, 저항선 640... 1 file 4 1665
Coinone
2016.10.16
5303 이더리움 geth 하드포크 노트7 과 parity 이더리움 DoS 하드포크를 위한 새버저들이 출시되었습니다.   Geth 1.4.18 일명 노트 7   https://github.com/ethereum/go-ethereum/releases/tag/v1.4.18   패러티도 업데이트 되었습니다. 1.3.8   https://github.c... 3 3 2137
atomrigs
2016.10.16
5302 POLONIEX Dao extraBalance 는 언제쯤받을수있을까요?? POLONIEX Dao extraBalance 는 언제쯤받을수있을까요?? 아톰님의 소중한답변으로 한국거래소에서는 빠른 처리를 받을수있었는데요 폴로닉스에서는 아직 답변이없네요  티켓을 보내보기도했는데 답변이 무슨말인지 잘... 14 0 1873
디자이너
2016.10.15
5301 ETC 의 진로   이더리움 DOS 하드포크가 확정되고 최종 테스트작업이 계속 진행중입니다. 블럭하이트가 조금 뒤로 미루어졌습니다. 첫번째 하드포크 블럭번호가 2463000 입니다. 현재 이더리움 커뮤니티내에서는 이번 하드포크의... 9 file 12 4591
atomrigs
2016.10.15
5300 합의 알고리즘에 대한 개략 http://www.ddengle.com/blockchain/1433956 에 제가 답글로 쓴 합의 알고리즘에 대한 내용을 다시 올립니다.   --------------------------   스팀은 기본적으로 dpos방법을 사용합니다. 추가로, 개발자의 지분확보... 6 2 2375
loum
2016.10.15
5299 폴로닉스 인증서 문제 임시 해결방법... 인터넷 익스플로러   출처 : http://www.clien.net/cs2/bbs/board.php?bo_table=kin&wr_id=3608654 의 댓글중...   "인터넷 옵션 -> 고급 -> 보안 -> 서버의 인증서 해지 확인 을 체크 해제 후 익스창 다시 실행하면 되더군요........ 2 1 899
은빛늑대
2016.10.14
5298 인제 폴로닉스에서 Ardor 코인을 지급해줍니다 Nxt 지분 * 가지고있는 시간 대비해서 준다고합니다     2 file 0 1115
미리노니나니
2016.10.14
5297 이더리움의 단점에 대해서 알고 싶습니다. 저는 이더리움에 대해서, 잘 알지 못하고, 개략적이고, 부분적인 사항만 조금 알고 있습니다.   하지만, 이더리움의 현재의 단점에 대해서 토론이 없고, 이런 단점들이 어떻게 해결이 가능할지, 아니면, 해결이 힘들... 20 3 8465
loum
2016.10.14
5296 현재 드워프풀 테스트 중입니다 그런데 코인이 안들어오네요 ㅠ_ㅠ 마풀허를 주로 사용할 거지만 혹여 문제 대비해서 드워프 풀을 테스트 하며   클레이모어로 사용해서 듀얼로 캐고 있습니다.   해쉬는 확실히 나오느데 제 지갑을 코인원 지갑으로 우선 해둿는데 지갑에 안들어오네요... 3 0 1328
살려는주세요
2016.10.14
5295 이더리움 지갑 관련 질문 드립니다 1.키스토어를 분실하면 지갑 주소만으로 키스토어를 복구할 수 없나요?   2.많은 회원님들이 이더 주소들을 개인정보에 보이도록 설정해놨는데    타인이 이 주소로 지갑 계정의  상태(이더 수량)를 알 수 있나요?   ... 2 0 1510
밸리데이터
2016.10.14
5294 이더리움 DoS 하드포크 확정 이더리움 DoS 공격을 방어하기 위한 하드포크가 결정되었습니다. 표준시 월요일 쯤에 하드포킹이 될 것 같습니다. 2단계로 진행된다고 합니다. 1단계는 개스비 조종이고, 2단계는 DoS 공격으로 싸인 쓰레기 청소입니... 18 8 3228
atomrigs
2016.10.14
5293 이더리움 채굴풀 선택 주의 저를 포함해 땡글에 많은 분들이 이더리움 채굴을 하고 있고, 대부분 다 풀을 이용하고 있는 것으로 알고 있습니다. 현재 DOS 공격 때문에 네트워크에 지장에 많고, 그러다 보니 채굴보상도 제대로 못받게 되는 경우... 7 3 5591
atomrigs
2016.10.14
5292 폴로닉스접속시 보안 인증서에 문제가 있습니다라고 뜹니다 ▲ 익스플로러로 접속시   ▲크롬으로 접속시   이렇게 뜨는데요 재부팅해봐도안되고 https로 해봐도안되고 v3바이러스검사해봐도 안되는데요... 어떻게해야될까요 어제까지만해도됫는데 갑자기이러니 혼란스럽네요.. ... 4 file 0 1119
이더야이더야
2016.10.14
5291 nxt 질문 드립니다 제가 nxt 비트렉스에 8월쯤사서 보관중인데요 ardor 받을려면 어떡해하죠 죄송해요 초보라~ 비트렉스에서는 안되는거 같은데 폴로닉스로 보내면 ardor 받을수있나요? 9 0 1489
광땡
2016.10.13
5290 이더리움 Parity 1.3.7 Update 패러티 메모리 사용이 너무 늘어나지 않도록 조정된 버전입니다. 메모리 사용량이 대폭 줄어들었다고 합니다.   https://github.com/ethcore/parity/releases   geth 도 1.4.17 이 최신 버전입니다. https://github.c... 1 1 1430
atomrigs
2016.10.13
5289 zcash 인포그래픽스   ZCASH EXPLAINED Sep 29, 2016 # ZERO KNOWLEDGE PROOFS Zero knowledge proofs –more specifically “zero-knowledge arguments of knowledge”– are a scientific breakthrough in the field of cryptography: they... 12 file 8 2811
atomrigs
2016.10.13
5288 이더리움 데브콘2 전체 슬라이드 모음 데브콘 비디오가 올라올 때 마다 주요한 것 하나씩 포스팅할 예정인데, 성격 급하신 분은 다른 세션 슬라이드를 먼저 보고 싶어하시는 분들도 있을 것 같습니다. 마침 오늘 전체 슬라이드 자료가 올라 왔군요. 사실 ... 2 7 1489
atomrigs
2016.10.13
5287 이더리움 devcon2 이더리움이란 by 비탈릭 이더리움 devcon 2 비디오와 슬라이드 연재시리즈입니다.   비탈릭이 이더리움에 대해 간략히 정리한 비디오와 슬라이드입니다.     Ethereum_in_25_Minutes.pdf                                                   ... 2 file 7 1925
atomrigs
2016.10.13
목록
Board Pagination Prev 1 ... 854 855 856 857 858 859 860 861 862 863 ... 1124 Next
/ 1124
default debug random = 0 / type = READ / detected = READ