traders_free custom_top_html:no
default debug random = 0 / type = READ / detected = READ

어떤분이 걱정의 말씀을 주셔서 이글을 올립니다.  


일부 몇분들이 생각하시기에 "그렇게 취약점을 잘 알면서 왜 당했느냐? 조작을 한것이 아니냐"?


이말을 참 드리기 망설여 졌는데 말씀을 드려야할것 같습니다. 저는 본업이 보안 입니다. 이쪽 계통에서는 전문성을 가지고 오래 일을 해왔습니다.


해킹 당한 7218개의 이더는 제가 취미로 작년 8월부터 시작해서 모은 것입니다. 대다수가 작년에 모인거구요.  저 한테는 단순한 금전적 가치보다 스트레스를 푸는 여가 시간의 취미 생활로 들였던 공이 더욱 크기에  의미가 있습니다. 


미스트 지갑은 원래 사용하지도 않았습니다. 다오를 구매하기 위해 한번 사용을 시작을 했구요. 그러다 그런 사고를 당했습니다.


제가 말씀을 드리고 싶습니다. 아무리 전문성이 있다고 해서 사용하기 전에  모든 프로그램의 취약점을 스스로 분석을 하고 사용을 해야할까요? 


보안을 하는 사람으로서 기본적인 윤리 원칙이 있습니다. 저는 비록 사고를 당하였지만 제가 가진 전문성을 발휘해서 조사하다보니 큰 피해 확산이 생길수 있는 중대 문제로 파악이 되어 이더리움 개발진들에게 즉각 보고를 하여 패치 요청을 하였습니다.   조사 도중 다른 문제들도 파악이 되었습니다. 


그러한 내용들을 전달함에 있어서 기대했던 그들의 대응은 생각과는 달랐습니다. 그들은 빠른 조취를 취하며 지적한 2개의 문제점에 대한 패치를 신속하게 하였습니다.

그러나 실제 문제점을 파악하고 전달한 저에게 보이는 이중적 태도에 실망도 하였습니다.


하지만 그렇다고해서 싸우는게 모든걸 해결할수 있다고 보지는 않습니다. 비록 그들이 인정이나 사과 없이 통보없이 패치 작업을 하였다한들 실제로는 사용자들에게

필요한 부분들은 반영이 되었습니다. 더욱더 말씀 드리면 며칠전 보안 팀 발촉  프로포잘을 시작한것이나 오늘 올라온 cpp-ethereum 에서 지갑을 한번 열면 unlock 이 되는  그런 보안 취약점 발표를 한것만 보아도 그들이 보안 강화를 위하여 얼마나 노력을 하는것인지 방증한다고 볼수 있습니다.

DAO.Security, a Proposal to guarantee the integrity of The DAO

https://blog.slock.it/dao-security-a-proposal-to-guarantee-the-integrity-of-the-dao-3473899ace9d#.qpnpvovma


Security Alert – cpp-ethereum keeps accounts unlocked

https://blog.ethereum.org/2016/05/31/security-alert-cpp-ethereum-keeps-accounts-unlocked/


이런 부분을 십분 이해하시고 도와주시는 @atomrigs님 @안씨아저씨님 @WEBUS님 @어른아이님 모두는 이러한 긍정적이며 중대한 변화를 이끌어낸 피해자면서 기여자가 인정을 받지 못하는점이 너무나도 안타깝다며 저에게 연락을 주시면서 이렇게까지 진행을 하게 되었습니다.  


공감해주시고 도움 주시는 여러분들 너무 감사합니다. 


1
댓글 8
  • 그동안 해킹을 당한 사람은 많습니다.
    stardust 님보다 피해액이 크셧던 분들도 있었구요.
    그런데 왜 이번일에만 나서서 모금활동을 하는가? 라고 생각할수도 있을것 같습니다.
    위와 같은 생각을 하고 계신 분들은 시간이 걸리더라도 아래 링크를 한번만 읽어주셨으면 합니다.

    해킹상황에 대한 설명 -> http://security7218.org/ko/sub_1.html
    해킹사태 후 진행상황에 대한 설명 -> http://security7218.org/ko/sub_2.html
  • ?
    큰 돈을 잃으신데 대해 먼저 안타까운 심정 전합니다.
    커뮤니티 전체가 뭉쳐서 스타더스트님의 명예와 손실 회복을 위해 노력하시는 모습이 참 보기 좋네요
    아래 올라와있는 사건의 개요를 읽어봤습니다.
    물론 그전에도 봤었지만, 단편적으로만 알고 있어 전체적인 내용을 알지는 못했었습니다.
    그렇다고, 잘하지도 못하는 영어게시판을 읽어볼 엄두도 나지 않아서 잘 몰랐었습니다.
    보안 일을 하신다고 하니 원격 데스크탑이 얼마나 위험한지 잘알고 계시리라 봅니다.
    어쩌면 그쪽일을 하시다보니 원격 접속으로 업무를 자주 보신다면 다른이의 컴에 쉽게쉽게 접속하여 작업을 마니 하시다보니 오히려 무감각해지셨을지도 모르겠습니다.
    지적하셨던 두가지 보안상의 취약점은 사실 여기 유저들은 대부분 몰랐을테고 이번 사건을 계기로 한층 보안이 강화되었다니 다행입니다.
    그걸그렇고 저는 IT의 전문가는 아닙니다만, 비트코인의 예를 들겠습니다. 아시겠지만 비트코인 같은 경우는 지갑자체에 애초부터 암호가 없는 것도 많이 있습니다.
    한마디로 내 PC나 스마트폰의 보안이 뚫린다면 언제나 도난의 우려가 있는것이죠.
    그리고, 패스워드의 암호화에 대해서는 인터넷 뱅킹이랑은 비교하기는 힘들듯합니다. 인터넷 뱅킹은 패스워드를 은행으로 송신하여야만 하므로 패킷을 훔쳐본다면 패스워드가 노출될 수 있기에 암호화를 반드시 해야합니다만,
    개인지갑의 경우는 인터넷을 통해 패스워드를 송수신할 필요가 없기때문에 암호화를 하고 안하고는 선택사항으로 판단됩니다.
    이런 글 남기기가 참 망설여지지만 그냥 개인 의견일 뿐입니다. 송구스럽네요
  • @널만나
    지적 하신것처럼 , 암호화폐가 마켓캡이 점점 커지는 만큼, 지갑보안에 대해서는 보완이 많이 필요함을 체감했습니다.
    우리나라 은행프로그램 activex 때문에 X지 같이 불편하다 생각하지만, 이런 경우를 이번에 추적해보니, 때로는 그것이 필요하겠다는 느낌이들어서, 저도 개발자 출신이지만, 다시 한번 생각하게 되었습니다.
  • @널만나
    송구하실 필요 없습니다. 제가 조금 설명을 더 드리겠습니다.

    이쪽 계통 이기에 남의 PC를 조사한다는 것은 더욱더 해서는 안되는 일이며 엄격하게 금지가 되어있습니다. 절대로 해서는 안되는 일입니다.
    만약 조사를 한다 하더라도 철저한 법적 제도 안에서 시행을 해야 합니다.

    Geth 자체의 암호 알고리즘은 훌륭합니다 개인키를 keystore 안에서 보관하고 적용하는것은 훌륭하죠. 다른 여타 코인들과 틀린점은
    스마트컨트랙이라는 블럭체인 기반위에 올라가는 기술의 특성상 다른 프로그램들 과의 호환성이 쉽도록 만들어져 있습니다.

    Mist 는 스마트컨트랙을 사용할수 있게 하는 일종의 사용자 인터페이스 프로그램 입니다. 지갑 역활은 일부분이며 그 외에 다양한 스마트컨트랙 기능들을 포함을 하게 되죠.

    그 와중에 지갑의 역활 중 가장 중요한 부분인 암호화 부분이 예상과는 틀렸던 것입니다.

    Mist 는 개인키를 복호화 시킨후에 다시 암호화 시키지 않고 그 정보를 그대로 Geth로 보내는 방식을 취하고 있었습니다. 그래서 중간에서 가로채기 공격이 쉽게 발생하는 것이죠. (그래서 Myetherwallet 같은 경우는 애초부터 이 방식을 취하지 않습니다)

    기존의 코인들 같은 경우는 스마트컨트랙이라는 기능을 쓰지 않기에 동일한 문제점이 없었다고 볼수도 있습니다.

    인터넷 뱅킹을 예로 든것은 Mist 가 사용자 단말의 인터넷 뱅킹 소프트웨어라고 치면 서버와 인증을 할때 애써 만들어놓은 개인 암호를 다시 풀어서 보낸다는것이 문제인 것입니다.

    일반인이 보시기에는 심각성이 떨어질수 있습니다. 그러나 이런 중간 공격에 취약한 제품들은 해킹 사고가 아주 번번하게 일어납니다. 그리고 피해를 입은 그 일반인들은 어디에 하소연할수도 없는것입니다. 어떻게 당했는지 알지조차 못하니까요................그 누구도 도와줄수 없습니다. 피해 원인을 모른다면

    저도 사람인지라 괜히 이야기를 해줬나? 라는 생각이 들기도 했었습니다. 본업때문에 바쁘기도 하고 힘들기도 해서 말입니다.

    그러나 저도 애정을 가지고 봐 왔던 사람으로서 제가 할수 있는 부분에서는 최선을 다해보자는 마음하나로 이렇게 진행을 해왔습니다.

    지갑은 패치가 되고 이런 약점들은 개선이 되어 많은 분들이 좀더 안전한 상황에서 이더리움을 사용하실수 있을것입니다.

    저는 그것으로 족합니다. 더이상 제가 할수 있는 부분이 머가 있을지는 모르겠지만 지금까지의 노력들이 헛되지는 않았다고 생각합니다.
  • 늦게 나마 위로와 공감을 전합니다.... 큰 돈을 잃고, 적반하장의 모욕을 당하셨는데도 대인배로써 침착하게 대응하신 것이 정말 존경스럽습니다. 그리고 커뮤니티분들이 힘을 합쳐서 이더리움의 보안강화를 이끌어 냈다는게 한국인으로써 자랑스럽습니다.
    여전히 이더리움팀의 미진한 대응에 실망과 아쉬움이 있네요. DAO 토큰 판매 기간이라 판매에 악영향을 미칠까봐 일부러 공식적으로 인정을 안한 것 같은데......입 막고 쉬쉬한다고 해결되는 중앙 정부 체제도 아니고 분권화된 참여 조직에서 자신들의 컨셉에 모순되는 대응을 한 것은 정말이지 큰 실수라고 생각합니다. 그동안 마케팅 잘해온 이더리움 팀이 앞으로 뒷일을 어떻게 감당하려고 이렇게 나온 것인지..... 반드시 스타더스트님과 커뮤니티분들이 수고를 인정받고 해킹 당한 이더를 보상 받으리 라고 굳게 믿습니다. 이번 사건을 통해서 이더리움 뿐만 아니라 전체 디지털 화폐가 그토록 강조하고 추구해왔던 분권화가 진정으로 발현될지 지켜보고 싶네요.
  • @CoinClip
    진짜 하고 싶은 말, 핵심을 딱 찍어 주셨네요!
    그렇죠. 마케팅 이런것으로 흥행하고 이런것은 일시적이지만, 문제는 분권화의 정신과 마인드를 정작 실천하지 못하는 닫힌 조직으로의 변화가 참으로 안타깝습니다.
  • ?
    스타더스트님 덕분에 보안 인식을 더 키우게 되었습니다. 스타더스트님의 글을 한 번이라도 읽고 보안 염려하신 분이라면 이번 펀딩에 꼭 참여하시길...
  • ?
    힘내시고요~~한국 코인시장 발전에 많은기여를 해주시길 바랍니다

List of Articles
번호 제목 추천 수 조회 수 글쓴이 날짜
공지 ESN 온라인 AMA 예고  new 3 134
ESN운영
2020.10.22
공지 땡글 경매! 레고 슈퍼마리오 스타터팩(~10/25) 2 file 11 1031
ESN경매
2020.10.19
공지 9월 출석체크 이벤트 ESN 지급 안내 3 13 2251
ESN경매
2020.10.14
공지 땡글닷컴 출석체크 이벤트(10월) 52 16 4828
ESN경매
2020.10.05
공지 ESN 9월 리포트 1 file 8 3701
ESN운영
2020.09.29
공지 ESN 바운티 프로그램 안내 - 스마트 컨트랙트 투표 시스템 구축 및 투표 결과 통계 정보 제공 2 16 1786
ESN운영
2020.09.07
공지 게시판 캐시 적립 정책 변경 안내 (2019/12/20 시행) 55 20 2072
관리자
2019.12.20
공지 로그인이 안되시는 분은 문의해주시기 바랍니다. 13 7 4767
땡글개발자
2019.08.21
4928 스마트컨트랙에 관한 읽어볼만한 글입니다. 스팀에 올라온 댄 라리머의 글인데 읽어볼만합니다. 개인적으로는 다음 부분을 주의깊게 봤습니다. In my opinion there is currently no smart contract platform that doesn't come with significant downsides. Wh... 4 1 4003
조제리
2016.06.11
4927 안녕하세요 거래소 질문 드립니다. 비트코인 거래소의 설립 기준 과 설립 방법이 궁금합니다. 핀테크 관련된 서적도 보고 비트코인 서적도 보고 하다가 비트코인거래소가 어떻게 생겨나게 됐는지 궁금했습니다. 혹시 누구나 설립할 수 있다면 그 기준과... 5 0 5782
봄날스럽게
2016.06.10
4926 이더리움 질문이 있습니다 이더리움 채굴 프로그램을 차단하는 방법이 있나요? 인터넷 아이피라든지..  저희 회사에서 누가 돌리는거 같은데 사장님이 막으라고 하셔서 .. 허허  전산실에서 아이피 차단 등의 방법으로 막을 수 있는 방법이 있... 11 1 3990
bitshifter
2016.06.10
4925 WAVES 시세동향, ICO 흐름타기 사실 저는 트레이딩에 재능도 없고 그래서 웬만하면 시세나 투자글은 잘 안올리는데... 그래도 정보제공 차원에서 공유해봅니다. 너무 신뢰하지는 말아주세요. 최근 웨이브 시세동향을 보니 의미없는 요빗 시세는 ICO... 14 9 3030
조제리
2016.06.10
4924 이더리움 3.0 로드맵 최근에 비탈릭이 이더리움이 대면하고 있는 과제들과 관련해서 R3 에 45페이지 짜리 리포트를 내놓았었습니다. https://www.scribd.com/doc/314477721/Ethereum-Platform-Review-Opportunities-and-Challenges-for-Pr... 6 12 5619
atomrigs
2016.06.09
4923 이더리움이 2017년 11월에 PoS로 간다는 얘기가 있네요 https://steemit.com/ethertium/@bunny/ethereum-to-switch-to-pos-before-november-1-2017-472016 사실확인은 아직 못하고 있습니다. 혹시 정보 있으시면 공유해주시면 감사하겠습니다. 8 0 7574
조제리
2016.06.09
4922 LISK 의 사이드체인 얼마전에 ICO를 마친 LISK 기본개념과 개발 도구들을 살펴보았습니다. 스마트 컨트랙을 실행하기 위한 플랫폼이라는 측면에서 특별히 더 경쟁력이 있는 부분들은 잘 보지를 못했는데, 이더리움과 비교해서 두가지 점... 20 8 5770
atomrigs
2016.06.09
4921 비트코인-이더리움-다오 겸용지갑 Jaxx 이더리움 미스트 지갑 업데이트 버전을 기다리고 있는 분들이 많을 텐데, 아직도 테스트중이랍니다. geth 는 얼마전에  1.4.6 버전이 나왔습니다. 싱크에 문제가 있던 분들은 이 버전으로 테스트해 보세요. 속도가 많... 4 file 2 5495
atomrigs
2016.06.09
4920 미스트 지갑 싱크관련해서 도움 요청합니다...ㅠㅠ 안녕하세요~ 항상 여러분의 도움을 받고있는데 이렇게 또 글을 올려 송구스럽습니다.. 다름 아니라 다오를 poloniex에 전송 테스트 해보려고하는데 미스트에서 마지막 블록(?) 캡처에서 1,664,602 번째 블록이 동기화... 4 file 0 2150
daftpunk909
2016.06.08
4919 요즘 코인시장에 대한 짧은 생각 개인적인 생각을 끄적여봅니다. 최근 코인시장을 보면 과거 알트코인 부흥기가 연상됩니다. 과거에는 비트코인을 카피한 여러 알트들이 우후죽순처럼 생겨났다면 요즘은 이더리움을 타겟으로 한 스마트 컨트랙 알트코... 7 16 3254
조제리
2016.06.06
4918 [코인원] 비트코인 $600선 코앞, 시장규모 10조원 돌파 6월 2주차 비트코인 $600선 코앞, 시장규모 10조원 돌파 지난주 비트코인은 전주 대비 17% 상승하며 2주째 상승 랠리를 이어가고 있습니다. 지난주 최고가는 $585로 2014년 8월 이후 2년만에 최고치를 경신했습니다.... file 2 2241
Coinone
2016.06.06
4917 모금운동 - 해외 포스팅 - 좋아요 지원 부탁합니다 stardust 님을 돕기 위한 모금운동의 영문판 업데이트와 함께,  이더리움 해외 포럼에도 올렸습니다. 이미 모금운동에 동참하셨던 분들이라도 방문하셔서 "좋아요" (up vote) 를 눌러 주시면 포스팅이 더 앞에 뜨게 ... 10 14 3382
atomrigs
2016.06.05
4916 삭제한 글입니다 삭제한 글입니다 0 1830
강철
2016.06.04
4915 DAO Propose 비트코인 공장을 만듭시다 비트코인의 가장 큰 위험 요소라고 하면 전세계 해시파워의 대부분이 중국에 몰려있다는 점일 것 같습니다. 여기에 대응하기 위해선 전세계의 마이너들이 중국에 대항하여 해시파워를 모아야하는데 승자독식 구조다보... 19 1 4209
널만나
2016.06.04
4914 도움 부탁드립니다ㅜ 미스트 문제..(초보입니다) 미스트에서 다오로 이더보내서 구입을 하였습니다. DAO허브 사이트에서 제 미스트 주소를 입력하면 보유 토큰수가 나오는데요, 미스트 지갑에는 이더의 account만 뜨고 DAO는 전혀 보이지 않네요ㅜㅜ DAO를 거래소로 ... 3 0 2343
아라마
2016.06.02
4913 geth JIT VM 무작위 테스트 geth를 켰는데 문득 못보던 문구가 하나 뜨더군요. "You're one of the lucky few that will try out the JIT VM (random). If you get a consensus failure please be so kind to report this incident with the blo... 1 file 1 3833
Memo
2016.05.31
이번 미스트 해킹건에 대한 당사자 개인적 심정 어떤분이 걱정의 말씀을 주셔서 이글을 올립니다.   일부 몇분들이 생각하시기에 "그렇게 취약점을 잘 알면서 왜 당했느냐? 조작을 한것이 아니냐"? 이말을 참 드리기 망설여 졌는데 말씀을 드려야할것 같습니다. 저... 8 15 4591
stardust
2016.05.31
4911 myetherwallet.com - DAO 전송 가능 미스트가 맛이 좀 많이 간듯합니다... ㅎㅎ 여러 사람들의 인내심을 시험하고 있는듯 하네요. 위 사이트에서 전송이 가능하네요. 폴로닉스 DAO 주소로 보내봤는데 잘 됩니다. https://www.myetherwallet.com/#the-dao   6 file 1 2569
텐프로9
2016.05.31
4910 비트코인 거래소 선택 시 개인지갑과 더불어 거래소도 이용해보려합니다. 거래소 선택과 이용시 유의해야 할 사항이 있으면 답변해주세요 참고도 하고 주변 지인들과 공유하고 싶어서요 7 0 2511
봄날스럽게
2016.05.31
4909 다들 미스트 블럭 싱크 잘 되시나요? 오랜만에 블럭 싱크할려고 지갑을 돌렸는데,. 싱크가 너무 느리네요.  하루종일 지갑을 껏다 켰다 하고 있는데,. 아직 1/10 도 싱크가 안됬네요.  왜 이렇게 느려졌을까요? 다른 분들은 어떠신가요? 3 0 1465
코인캐는코쟁이
2016.05.31
목록
Board Pagination Prev 1 ... 801 802 803 804 805 806 807 808 809 810 ... 1052 Next
/ 1052
default debug random = 0 / type = READ / detected = READ