안녕하세요, goldenman입니다.
지난 주, 코모도 공식 지갑인 Agama 보안취약점으로 인한 이슈가 크게 있었는데요.
몇가지 요점 정리 및 코모도 홀더분께서 뭘 어떻게 확인하고 행동해야할지를 정리해드리려고 합니다.
무엇이 문제였나?
- agama는 오픈소스입니다. 누군가 Agama 에서 사용하는 라이브러리 모듈의 소스를 바꿔서 유저가 로그인시 입력하는 시드값을 유출시켜 탈취할 수 있게 취약점을 심었습니다.
- 코모도팀에서는 뒤늦게 이를 발견하고 유출된 시드값들을 발견하여 해커가 이용하기 전에 먼저 화이트해킹(white-hacking; 보안을 목적으로 해킹을 시도하는 것)하여 무방비에 노출된 유저들의 자산을 보호조치하였습니다.
- 관련기사
코인텔레그래프
지디넷
어떤 버전이 문제가 되었는가?
- Agama desktop (윈도,맥,리눅스 모두)
- Agama Mobile (안드로이드, iOS 모두)
- Agama Web버전 (브라우저로 이용)
- 최근 4달동안 Agama에서 직접 새로 주소를 만들었거나 기존 시드값으로 로그인을 시도한 경우 유출됨.
- 지난 수개월간 시드값을 직접 이용한 적 없거나, 작년에 비밀번호 설정하여 비번만 쓴 경우에는 유출 안된 것으로 확인 (그래도 지갑주소 교체를 권장)
무엇을 해야하는가?
아래 1번부터 시작하시면서 YES/NO에 따라 잘 따라오세요. 중간에 애매하면 무조건 9번으로 가세요.
그럼 시작합니다.
Agama 이용여부
1.1 Desktop을 주로 이용하십니까?
▶ YES - Agama Desktop을 당장 삭제 후 2번으로 이동
▶ NO - 1.2 로 이동
1.2 Mobile을 주로 이용하십니까?
▶ YES - Agama Mobile을 당장 삭제 후 2번으로 이동
▶ NO - Agama 유저가 아니시군요. 다행입니다. 끝.임시로 문제없는 지갑으로 교체해주세요.
문제가 해결된 버전의 지갑이 나올 때까지는 아래 대안지갑을 이용해주세요.
2.1. Desktop (PC환경)을 주로 이용하시나요?
▶ YES - VERUS AGAMA를 다운로드/설치 후 3번으로 이동
Verus팀에서 Agama를 포크해서 만든 지갑이면 이번 취약점과 무관합니다.
- 윈도우용 다운로드
- 맥OS용 다운로드
- 리눅스용 다운로드
2.2. 모바일을 주로 이용하시나요?
▶ YES - 카멜레온 지갑을 설치 후 3번으로 이동
- 안드로이드 설치
- 아이폰 설치새로운 지갑주소를 만드세요. 시드값도 새로 만드는 겁니다.
24개의 새로운 단어와 새로운 주소를 반드시 잘 백업해주세요. (잃어버리면 안되요)
잘 만드셨다면 4번으로 이동새로만든 지갑에서 "예전 시드"로 로그인해서 해킹여부를 확인하세요.
코모도를 비롯한 코인들이 그대로 잘 있나요?
▶ YES - 5번으로 이동
▶ NO - 코인이 빠져나갔군요! 6번으로 이동시드가 유출이 되지 않았지만, 안심할 수 없습니다.
옛주소에 들어있는 코인을 3번에서 만든 새주소로 모두 옮겨주세요.
옛주소의 시드값은 만일을 위해서 잘 보관해주세요.
새로운 시드는 잘 보관해주시고, 나중에 새로운 해결된 Agama가 나오면 그대로 사용가능합니다.
끝.시드가 유출이 되어서 코인이 모두 빠져나갔군요.
코모도팀의 안전계좌는 "RSgD2cmm3niFRu2kwwtrEHoHMywJdkbkeF" 입니다.
안전계좌로 빠져나갔나요?
▶ YES - 7번으로 이동
▶ NO - 8번으로 이동
▶ 잘 모르겠음 - 9번으로 이동코모도팀이 안전하게 잘 가지고 있습니다.
되돌려 달라고 요청해주세요.
아래 "반환 신청서 정보"를 참고해서 신청서를 작성해주세요. (영문주의)
신청 시 반드시 3번에서 만든 주소로 반환신청 넣으셔야 합니다.
신청 완료하셨나요?
▶ YES - 10번으로 이동
▶ 잘 모르겠음 - 9번으로 이동해킹되었을 가능성이 있습니다.
영어로 직접 코모도 팀에 물어보고 싶으신가요?
▶ YES - 11번으로 이동
▶ NO - 9번으로 이동영어가 어렵거나 잘 모르시겠으면 저한테 문의해주세요.
문의할 곳 - 골든맨 개인톡 : https://open.kakao.com/me/goldenman_kmd
문의시 꼭 알려줘야 할 내용:
※ 본인의 기존 KMD 주소.
※ 3번에서 새로만든 KMD 주소.
※ 이 글에서 어디까지 따라오다가 막힌건지.반환신청서를 작성하셨군요. 다음 단계로 가봅시다.
옛 주소를 보면 원금을 꺼내간 이후 아주 소액의 코인이 들어와 있을 겁니다. (0.00023457 같이 아주 소액)
소량의 입금 확인되시나요?
▶ YES - 12번으로 이동
▶ NO - 9번으로 이동코모도팀에 직접 문의하고 싶은 경우
텔레그램 그룹 : https://t.me/KomodoPlatform_Official
Discord 채팅 : https://komodoplatform.com/discord소량의 코인을 0.0001개 이상 또는 전액을 3번에서 만든 새 주소로 송금해주세요.
내가 지갑의 소유자임을 증명하는 것이 목적입니다. 송금 수수료 0.0001 KMD를 제외한 수량이 갈것입니다.
잘 보내셨나요?
▶ YES - 반환 프로세스가 완료되었습니다. 13번으로.
▶ 잘 모르겠음 - 9번으로.소량의 송금도 마치셨습니다.
기본적인 반환절차가 끝났습니다. 이제 3번의 주소로 코인이 들어오기를 기다려주세요.
코모도(KMD)외 다른 코인도 확인해보세요. JUMBLR, CHIPS등 다른 코인이 더 있나요?
(다른 코인이 더 있는지는 아래 기타정보 참고)
▶ YES - 4번부터 반복하세요.
▶ NO - 14번으로수량이 7777개 이상인가요?
▶ YES - 15번으로
▶ NO - 16번으로6월 15일전에 입금이 되길 기다려주세요.
▶ 15일까지 들어오면 - 끝.
▶ 15일 지나도 안들어오면 - 9번이나 11번으로6월 30일전에 입금이 되길 기다려주세요.
▶ 30일까지 들어오면 - 끝.
▶ 30일 지나도 안들어오면 - 9번이나 11번으로
기타정보
3번에서 거래소 주소도 괜찮은가요?
- 네, 괜찮습니다. 거래소인 경우도 12번도 반드시 해주셔야 합니다.
- 하지만, 코모도 외 JUMBLR, CHIPS등 다른 코인은 별도의 개인 지갑이 필요합니다.
반환 신청서 정보
- 준비물 : 본인 Email , 기존 주소, 3번의 새 주소, 반환받을 수량
- 사라진 코인 종류별로 신청서를 작성해주세요.
KMD - https://forms.gle/giVXjRKJ5ThSWvxRA
BTC - https://forms.gle/M3ohdCQ3Mj4c3zAa6
JUMBLR - https://forms.gle/bTKXBvgddWb1dvCT9
DEX - https://forms.gle/7jXHQRzpAoHaNPoP7
SUPERNET - https://forms.gle/nMpKH1q3CAXoiAiY6
REVS - https://forms.gle/GiXswCcj7Ri1pMvf9
MSHARK - https://forms.gle/9c9J4hv9DgmpHwUDA
HODL - https://forms.gle/iAjV48rL9PyuUCjd7
PANGEA - https://forms.gle/X8siminsVZmsvYsy5
BET https://forms.gle/pnpj9md1wVntTkaw5
BOTS - https://forms.gle/FxSZ3gYrDBY1fDYh6
MGW - https://forms.gle/ggu5tvMAkJfu1qn19
CRYPTO - https://forms.gle/Xk6wAkcMyf3P93UA9
VRSC - https://forms.gle/S34SKrX2rnRw1gCPA
CHIPS - https://forms.gle/xTGbFdavvitJhjff7
※ 위 코인 외 아가마에 있는 코인은 반환대상이 아닙니다.
자세한 반환절차 영문설명글
코인별 익스플로러 (트랜잭션, 주소 조회하는 곳)
- https://dexstats.info/explorers.php (코인이름 옆 "EXPLR" 클릭하면 됩니다)
내 Agama 주소에 어떤 코인들이 들어있는지 확인하는 곳
- https://dexstats.info/assetviewer.php (본인 주소로 검색 조회)
렛져가 있으신 분은 VERUS Agama 대신 렛져를 쓰셔도 됩니다.
기타 문의
- 9번이나 11번으로.
골든맨님 덕분에 지갑 들어가서 확인해보니
코모도 팀에서 가져갔더군요, 소량이 다시 들어온게 신원인증 확인 절차군요..
덕분에 해결 할 방법을 알게 되었습니다 감사합니다.
얼마전 거래소로 보냈는데...다행이군요 ㅎㅎ
어차피 소량이라 별일 없겠지만 확인해봐야겠네요 ㅠㅠ