[EOS FUD 파괴왕] EOS 스마트 컨트랙트 취약성 분석? 플랫폼 자체의 보안 취약점이 아니야!

in #kr7 years ago (edited)

안녕하세요 EOS 서포터 팀 크리머 D.A.O의 크리머 입니다.

연일 EOS에 대한 FUD가 넘쳐나고 있네요.

[FUD가 뭔데 ?]

스크린샷 2018-05-01 14.39.52.png

  • FUDFear,Uncertainty and Doubt의 약자로 그대로 풀이하자면 확인 되지 않고 의심스러운 두려움이다.

  • 즉, 쉽게 말하면 부정적인 찌라시

[EOS FUD #1 : EOS 스마트 컨트랙트는 취약하다.]


  • 얼마 전 이더리움의 몇몇 ERC20 토큰들이 복제되는 사건이 일어났다.

  • 몇일 전 크리머님의 글 이더 ERC 스마트 컨트랙트 이슈을 통해서 다루고 댄 역시 해명한 이슈 였지만 어제 밤부터 다시 한번 FUD가 퍼지고 있었다.

[중국발 FUD]


FUD 내용 : 중국의 LiaAn Tech 그리고 LiaAn Tech의 리서치 플랫폼인 VaaS(Verification as a Service)가 최근 발생한 이더리움 ERC 20 토큰의 복사와 같은 종류의 버그를 EOS 역시 가지고 있고 그것을 입증할수 있다.


  • 댄은 자신의 미디엄을 통해 이 FUD를 진압하기 위해 나섰다.

[FUD 파괴 ]

스크린샷 2018-05-01 15.09.22.png

플랫폼 자체의 보안 취약점이 아니야.


  • 이더리움의 ERC20 토큰 복사 문제는 보안의 취약함을 나타내는 것이 아닌 잘못된 코딩의 결과이다. 개발 업체의 실수를 막기 위해 스마트 컨트랙트 플랫폼이 할 수 있는 일은 아무 것도 없다.

  • 이러한 실수는 플랫폼이 가진 보안 취약점이라고 말 할 수 없다. 즉, 이더리움 자체의 문제가 아닌 것이다.

코드 업데이트 능력


  • 최근에 댄은 트위터를 통해 "복사 버그"에 대한 글에서 개발자는 완벽하지 않고 코드는 업데이트를 필요로 한다고 주장했다.

크리머님의 글 중

  • 이것이 코드가 법이 될 수 없는 이유고 또 컨트랙트를 업데이트 할 수 있는 능력이 필요한 이유야 ! 내가 알기론 EOS 토큰 컨트랙트는 이러한 공격에 취약하지 않아 :)
  • 좋은 플랫폼은 기본적으로 업데이트를 어렵지 않게 해준다.

  • 창조자에 의해 변경할 수 없는 것으로 표시된 계약조차도 하드 포크 없이 커뮤니티에 의해 변경될 수 있어야 한다.

[무책임한 FUD]


  • 이 문제에 대해 보고한 LiananTech팀과 다른 블로거들은 EOSIO에 반대하는 전략적인 논쟁을 전개했다.

  • 그들의 무책임한 FUD로 인해 기술을 이해하지 못하는 사람들을 잘못된 방향으로 이끌고 있다.

  • 씬(Scene)에서는 보안 취약성(플랫폼이 설계된 대로 작동하지 않음), 사용자 오류(개발자가 플랫폼을 제대로 사용하지 않음)기본적인 플랫폼 설계 결함(툴 자체에 보호하지 않음)차이를 정확히 파악할 수 있는 사람이 필요하다.


@indend007 서리님의 사견:
위와 같은 사례의 예를 들면 윈도우에 포맷 기능이 존재한다고 해서 그것을 잘못 사용하는 초보자들 때문에 이를 윈도우의 취약성이다라고 말하는 것과 같습니다.


[크리머 사견 : 과연 이 FUD는 의도된 것 이었을까?]


  • 위와 같은 중국발 FUD 때문인지 시장이 약간 소란스러웠습니다.

  • 현재 EOS는 외부/내부 가릴 것 없이 사방에 적이 너무 많습니다.

스크린샷 2018-05-01 15.24.55.png

베트남 국기의 별처럼 말이죠 ㅋ

  • 내부의 적 : EOS를 더 매집하려는 세력

  • 외부의 적 : EOS 자체를 견제하는 세력

  • 이러한 적들로부터 FUD는 앞으로 더 많이 나올 것으로 생각 됩니다.

토마스 콕스가 상상하는 2018년 6월 EOS

  • 트위터에서는 비트코인 신봉자들이 이끄는 다양한 반응들이 나왔고 블록원과 EOS의 모든 노력을 방해하기 시작했다.
  • BP후보들은 디도스 공격을 받기 시작했다. 피싱, 가짜 에어드랍 발표가 계속 나왔다 없어졌다.
  • 이런 혼란스러운 상황에서 옳바른 의사 결정을 위해 FOMO와 FUD를 확실하게 인식해야 합니다.

+ 추가 내용 요약 [서리님 : @indend007 ]

출처 :https://www.prnewswire.com/news-releases/an-eoscybex-incubated-tech-firmlianan-found-eos-smart-contract-also-subject-to-overflow-vulnerability-300638567.html


  • LiananTech팀은 EOS BP 후보자인 EOS.CYBEX의 외주 업체로 EOS 보안 테스트를 진행하는 회사입니다.

  • 현재 BP 후보들은 저마다 메인넷 BP 를 위해 생태계에 무엇이라도 기여하는 모습을 보이고 싶어 합니다.

  • 때문에 EOS.CYBEX 는 EOS 메인넷 이전에 이러한 부분의 개선에 도움을 주면 주목을 받을 수 있을 거란 생각에 보고서를 작성한 셈이고 이를 의기양양하게 발표하며 개선 방안도 이야기 했습니다.

  • 그런데 이게 사실 블록원측에서는 EOS 의 취약성이 아닌 것이고, 오버플로에 관한 컨트랙트상 소스 오류라는 설명입니다.

  • 결과적으로 기사는 EOS 생태계를 좀 더 멋지게 고쳐가는 모습을 의기양양하게 발표하고 BP 로서 입지를 다지려는 CYBEX 측에게는 물론 EOS 생태계에서도 되려 FUD로 자리잡는 헤프닝이 되었습니다.


[EOS FUD 파괴왕.] 컨텐츠는

크리머 다오 팀의 [갓질라님과 크리머의 공동 제작 컨텐츠] 입니다.


크리머 글 알람 받기 !


텔레그램 링크 : https://t.me/EOScreamer
(채팅/리딩/가격 X 알람 기능 O)

  • 이오스 관련 소식(뉴스/논평/에어드랍 소식 등)을 빠르게 듣고 싶은 분들은 참여해주세요 !

크리머 최신 글


이오스 보팅짤.png

Sort:  

비트코인을 추종하는 중국놈들 악성 루머 겁나게 퍼트리네요 ㅎㅎ 그나마 빠르게 EOS가 반박해서 그나마 다행이네요

사실 BP후보자인 EOS CYBEX 측에서 뭔가 생태계에 기여를 하려고 했던 거였지만
오히려 FUD가 되버린 경우인것 같아 안타깝네요 ㅠ

크리머님 빠르시네요^^감사합니다.

ㅎㅎ 감사합니다 :)

eos홀더인 저에게는 가슴철렁한 소식이었는데, 바로 잡아주셔서 감사해요!

일교차가 큰 날씨에요 감기조심하세요^^
오늘은 비가 온다고 합니다 우산챙기세요