저희는 ( @noisy & @lukmarcus) 실제로 9개의 비밀번호, 2개의 private active key 그리고 64개의 private memo key를 해킹 해버렸습니다.
요약 을 하자면:
- 저희는 Steem 블락체인을 해킹하지 않았습니다
- Steemit.com을 해킹한 것도 아닙니다
- 펀드에서 훔친것도 아니며, 훔칠 수 있음에도 불구하고 저희는
- 해킹한 계정들의 비밀번호를 원래대로 바꿔놨습니다.
- 모든 돈을 각 계정의 예금 계좌에 넣어놨습니다.
- 문제는 우리가 갖고있는 2개의 active keys들의 계정인데, 예전 비밀번호 없이 우리가 비밀번호를 바꿀 수 없었습니다. 그래서 그냥 모든 돈들을 예금 계좌에 넣어놨습니다.
- 우리는 Steemit 웹사이트의 잘못된 설계 결함을 이용해 해킹했고, 많은 사용자들이 똑같은 실수를 범했습니다:
그래서, 무슨 일이 일어난거야?
몇일전에 내 사촌이 암호화폐 지갑에서 돈을 보내다가 실수로 메모에다가 비밀번호를 복붙 해넣은걸 발견했어. 내가 조심하라고 조언을 해줬고 그래서 그는 비밀번호를 바꿨어. 근데 이게 날 뭔가 생각나게 만들었어... 만약 내 사촌이 그런 실수를 한다는건, 누구든지 그런 실수를 할수있는거 아닐까! 그리고 테스트를 해본 이 후에 내가 틀리지 않았단걸 깨달았어.
모든 Steem 거래 기록들을 분석하기 위해서 스크립트를 짜봤어. 거래마다 메모들을 모두 가져와서 그 유저의 공개키와 일치하는지 확인을 한거지.
결과 :
account | type | memo |
---|---|---|
dunja | password | hurehurehure1234 |
anwen-meditates | password | P5Kk17eRvytzkRzzngp1CdVbQvRqFUq8wrvw8SqNdcZwXot2JRXA |
jakethedog | password | P5JEo9aSW6CAF6apUsMbxqSe6r991T5G35uXcoYMP1PmifBRqX87 |
miketr | password | P5JEZWqSV28XAGrwMXn5G2Sx4dADvS5mz4DrrtjoraY8nmB59Rrb |
blacktiger | password | P5HufQw3V442c4DREjUL4Ed4fQ41VzBhPtn5SkCBDJ25tuRFg1UC |
quetzal | password | P5KC2JAHPyuA5tBn4K8PxoLuwXqHx51GHy7tG3gD7DupKH8NxqZz |
tieuthuong | password | P5HybN5mguE6G2QB4BVKbreexEtxJD84veHcz4s3L9R8JLQ6m85V |
aubreyfox | password | P5J5wS2gkQBv3U6WPgHU9gUTitbWE4V5CKYeEhZGVa3VGgkzQU2p |
virtualgrowth | password | P5Kifqmdm38WPHpn2FUigLbhfD7FatHAHfcuRU5xSi16AFJFex3r |
trump | active | 5KWkAdBieGJ8TwrpudKjJ3txTGKdjKSBHPgjiH1RGgFRWXp8uM9 |
amrsaeed | active | 5JqaDeu2s3BsG9QYenpz2xjLfg3qdaeWhXduYNUSmK7KWAywx93 |
trump | memo | 5KWkAdBieGJ8TwrpudKjJ3txTGKdjKSBHPgjiH1RGgFRWXp8uM9 |
alao | memo | 5JBGwoooi1gEUXBhu6up1qWdsKKKG1TEakQwaBNMb95dup5f9xh |
athleteyoga | memo | 5KU2dcxLpSCJZ4SB8eBqUJs2PCEuwfx7w2XYCUmcnLqgdHHqjq2 |
beeridiculous | memo | 5KHkKyHpxDBuuKGt5QwTbb42bxmMUo1Xk9efBKU7wUoRed2Ak8z |
romanskv | memo | 5JzZ1BUHGrYrmu9Kms5mFK2nhQPFSxKHXp5mtcfMrQWioEgJTfE |
blockiechain | memo | 5JJZPu2z6DfhyGFsm9b458wff8H168f4yiAidbsWq55YSbFLd3a |
bloodhound | memo | 5JQZo8QDuQ1eDqsgMnVHg1ujqYNUTEDV4KYZyeSdbzSAbXMsSuV |
bryguy | memo | 5JdJHDcgeqyaHEgmyTbob221RUvttqyRVVPViAMzuq4hWJKw6sa |
churchsoftware | memo | 5KB3B3rHxvvaR3C2gfNyKkkReqdfbsjPs4AZ8ceiiR4B49oCDmJ |
chuckles | memo | 5KWf41ixGbPMpAxNhe47jtTVbyAi9Su4mZrHaVanYP2rQWoPUUk |
coincravings | memo | 5Jp6RJ71B824qc2cHXLPNYHZPD1BgxE2rFMyEpDszjqussW5iSA |
colombiana | memo | 5JaewDd6gw4AjXGhABCdZk2FHrwxHJnJDWZmkUzJYuny6rarbf3 |
cryptoeasy | memo | 5JNv71NgwCRUDAQu1NP67TDRVHKmRnnGLRfNFMwAKS8fTMLvLkQ |
datkrazykid | memo | 5JbiRrFrv9GLMjjPYZA8K7AWxAXQThs5AefWj1JgqjzMS2jLdng |
dollarvigilante | memo | 5Hqzx26rSmSJ2o5VB8gicf3F2Q6BU35n1nMNajcEmDxMietvUVx |
dethie | memo | 5K3BBi9pETRGG7KkS7VDrWY7exDCCi315prn2Mf9dTuR9vCejEH |
francoisstrydom | memo | 5Jkw1HdHc1ucwTosaqhXVAhyG848d1ZJprQsrwP1UEctazBvU3D |
farinspace | memo | 5JMckr9WkVbRZdbeMwQ6CNwTWBfrp4vTBy9K1YTJyZ76XBbRgZW |
golgappas | memo | 5K8zaCwcXWjQPjs6JGH896pGb6jENyMNU19g1hSsYXW1X2Dour1 |
goldrush | memo | 5JKCSn4xwHHCTBNy1MYJgbLDpYGR434A43gUvGPCVJPAs49GMvX |
hithere | memo | 5HxdErB3wPUDQKWEcjNBBWLpB1uJ8aMrY1tK5ZA1k56MqmTtT31 |
iaco | memo | 5JTYW5HfPJJX47VRT1Cq9Nz8aSruWKhETiD6oo9GPJNteQ5RPke |
inphinitbit | memo | 5J9uWL39vDYgEosscgxEziYQ2ybPbxM5e9sPkzTxgqTgNYC7Mx7 |
jellos | memo | 5JYXarzjE5afBtHcjhvdUcczrqCsfUEyxVRTKAFyDdjGatkTNNy |
kakradetome | memo | 5JuMh7FikJ1UVpUauF3J1e7MHj562z8Zmnp29pauVgPw3A4SgYC |
kingofdew | memo | 5HrSQ9yJizKCbDAu2Di9PnSuMPwMuNQCiKRdBUqzHFZySWQmtbL |
malyshew1973 | memo | 5KbD93C9XLGL4Aa4ncSpRnXCVuSRTvRRP6gANwHPbUeWBaPf4Eq |
leesmoketree | memo | 5Kctn9BvtxB3CXzzX4GMcmLygq42LqisCZr5MAy7VYPzvwX5o7u |
lichtblick | memo | 5J9jkRijjAn8o8DXt8R1ujSZHtahevVCw8CGzPEjnvCEsqkXjHy |
lopezro | memo | 5K6rmYGbHaGsAyGLpQMNupWcmjQFHvjX2GtYyCrC3KMgWAWcNci |
lostnuggett | memo | 5JEKwfrtSEFvw8P8qnWyDhfxnQTRB5Vn2WxwW3tE4gL4pZiwPcQ |
luani | memo | 5Jo7p98JCpTiH1q9kVC81etym4QSHRRpLDvxumRW7BXouDu8Yfd |
mama-c | memo | 5HqAhZBvbBJKVWJ1tsrg7xnS1dvNNyxBoHzp8Snvp9C6Uawx66x |
marionjoe | memo | 5KUpMmkx6hrPanwKzUvrHTonLDQkZAoiJwESogHAMSeuFsB1Lqc |
maxfuchs | memo | 5J9CvSGNyLBgUwhKtsTWCqTddbDZJ4tFrVSyWFzDstsQiG9spPe |
mkultra87f | memo | 5J8mDeubzJwEtHsbPzfUCVetNgPrVgQVHUBQDySH7v1qSS44DBf |
mrsgreen | memo | 5JyAaFEdEriRLpQ9uEXGoeNyHpw1TscqN6VP6iNjpoFbA8JCrMP |
nathanhollis | memo | 5Kk1N4nxMPbqVuJCVt3MUjz5dvJR716cUAdf6c3kToqzMqT8rRu |
murat | memo | 5K8R2J7xiLRN3HWdAy5Zym4taE74o9DWF8FV82HHFrqNUZDzdxW |
nikolad | memo | 5KdeDUj92w2HXsLH6V6SpNGPAeyBtJEU5jVoqZyjaHDkE39AkzF |
niliano | memo | 5KCPgZBnLziZC88e44j8GxK11XYdpQyo8WFxocBH24jAhEnVN6z |
norbu | memo | 5J5HyEwx54MwKW8gpsSBzvwAweHRjH11CXs85RCNWSooyPYRaeh |
onighost | memo | 5HwsjHgWMmJSLdiVgdxbRWqyvFtsKRC3Mk2tDzkpW4293ssTa6V |
pinkisland | memo | 5JAymGCYWxhojoyQsfAC4x619nq5vkcQBhMWjEZHwiitodBYFV5 |
rawmeen | memo | 5JnLMoPRry2n361tPxQq7MYy16tn5PuT2PmsP1FLrRGJsp1Vfem |
qamarpinkpanda | memo | 5K4SgN4tps3HRiyy49m5rfWNCZmyBVYv7eFF3CTRkcJJPQsExTb |
richarddean | memo | 5JPPUidz7rPN6VPHFJQbjnh8a3JQCDzP7fJSt93EQkUeLr3gmJJ |
saramiller | memo | 5K8My6Afbi6ff5CeFByB5e9zQG4QUX4MtMRHs7Ux9Tvu4ZSP7H4 |
slimjim | memo | 5HtkqVNSBj4kf6tyyyNPBgpnbgkrvATM1wBYY4mkNfxs9xiYHbv |
smisi | memo | 5Hsre3qaCDBcxwGiig5qFc65dwf2NfAssUUTXfCWFmbhbxPz7bL |
sraseef | memo | 5K558SavQVHXnKn6k8CoKe28T3FAmmAtRJuCMjpwdSwR6sT9rYq |
steemshop | memo | 5JRoiSJw18Vj3rGt5mrd4JeuxL1Wb1YpGyFDQu9pFrKmckr6kTu |
surpriseattack | memo | 5K8Be3nW33Lc5vqRUJx3xmoLFnMMmJPMthYHb16i7R2gwFTJqh3 |
tee-em | memo | 5KPT9Nhtho3qaAFkGQ4zqy7Dae1729WdYM5wL3UPyKVuTauonif |
theofphotography | memo | 5KRJ9qt8E9o6KXFhfyW7PJH7sDsmSBVaBeC8SmLR5LmReQii44Y |
thunderberry | memo | 5JxtXr2cMTkbU37CDtPyFdGuTT9fPceNemwnJDsqAdMoV5msLEP |
tomino | memo | 5JPBiMwfrqTdgZhW16LjdeMZv29gtKQC4eb4jyVTpk2Vvx5MHde |
worldclassplayer | memo | 5JQBm8pn5vwChYdoxx3tJw6dkBFeQpKBKia5roB9DqXZMoFdF4h |
writemore | memo | 5JJTZpTEvw4C7cnU7Q9NfzUnXSYqwYLLxkP7B3c39Z82Uwzj14d |
wthomas | memo | 5HwbsX4CTKtCJLH8QYuVBTvCbJYQwwFDiCCKy99uNLCHpoazo6N |
walcot | memo | 5KJjeTJGM8FjjDpj8mHRFpjae5SeSZ9Y8CGaBJC7VqFUGR25Qa6 |
vovaha | memo | 5J9Wxf1Xz1hXvMd7ubXHNZXhFoF1yhQT3GSHNVmRNXERCnBZJ7e |
버그 수정
미래에 이런 일이 일어나지 않도록, 취약점을 발생시키는 코드를 수정해서 개발자 측에게 보냈어:
https://github.com/steemit/condenser/pull/1464
질문:
제 계정이 해킹되었어요, 어떻게 해야하나요?
안타깝게도 저는 steemit.chat 이나 discord로 당신에게 새 비밀번호를 전달해줄 수 없어요. 왜냐고요? 아무도 그 계정이 당신거란걸 증명할 수 없으니깐요. 저는 리스크를 감수해가면서 모르는 사람에게 당신의 계정에 접근할수 있게 하고싶지 않습니다.
여기에 가서 질문을 해보세요: https://steemit.com/recover_account_step_1
여기에 가면 이메일을 인증하고, 계정을 초기화 할수 있을겁니다.
중요한 점
제 계정이 그 리스트에 있고 private memo key가 올려져있네요 , 어떻게 해야하죠?
계정 비밀번호를 즉시 변경하세요.
이 링크에서 할 수 있습니다: https://steemit.com/@<your_login>/password
지금 당장 제가 올린 리스트에 있는 memo key들은 아무런 피해를 만들지 않을겁니다, 근데 먼 미래에 그 memo key들이 사용될 가능 성이 있습니다. 저 memo key를 알고있다는 것은, 누구던지 당신의 개인 메세지를 읽을 수 있다는건데, 그걸 원하진 않겠죠?
이제 어떻게 할 생각인가요?
아주 가까운 미래에, 보안에 관한 포스팅을 할 예정입니다 (뉴비들과 개발자들을 위해):
- private, public 키가 작동하는 방법. 두개의 차이점이 무엇일까?
- 왜 Steemit은 내가 183388명의 유저들의 비밀번호를 스캔하는걸 알아채지 못한걸까?
- Steemit에서 유저들의 비밀번호이 브라우저에 저장되고 이게 안전한 이유.
- Steemit에서 생성되지 않은 나만의 비밀번호 만들기
- private posting key를 매일 이용하면서, 나의 Steemit 계정을 더욱 안전하게 지키는 법
저를 팔로우 하면 Steemit에서 보안 관련된 글들을 받아 보실 수 있습니다 :)
P.S 매일마다 번역 포스팅을 하고있는 제 계정 @philipkoon을 팔로우하는 것도 잊지 말아주세요 !
좋은정보 감사합니다.
해킹이란 단어만 들어도 무섭네요
감사합니다 !
댓글 감사합니다 ☺️
감사드리며 이후 포스팅도 번역해주시면 감사하겠습니다.
https://steemit.com/steemit/@lukmarcus/secutiry-stats-on-we-just-hacked-11-accounts-on-steemit-passwords-in-the-open-and-reaction-time 이 글 말씀하시는건가요?
아닙니다. 제시해주신글은 번역글과 크게 다르지 않은 내용입니다. 노이즈가 예고한 미래에 포스팅될 글을 말씀드린겁니다.
알겠습니다! 이미 계정 팔로우 해놨고 글 올라오는대로 번역글 올리겠습니다 ~
감사합니다. 제가 번역되어졌으면 하는글들을 가끔 요청드려도 되겠습니까?
그러려면 오늘글이 보상이 좀 붙어주어야 하는데 어덜지 모르겠습니다.
번역할 거리가 생기면 저야 좋기때문에 편하게 요청 주세요!
업보트와 함께라면 뭐든지 😊😊
감사합니다.
주의해야할 부분을 알려주셨으니 관리를 잘 해야겠네요. 이런 정보 감사합니다~
오! 이런일이있었군요
알려주셔서 감사합니다
번역 감사드립니다!ㅎㅎ
수고 많이 하셨어요
매번 감탄합니다
어떻게 대처해야 할지 ㅠㅠ
좋은 정보 감사합니다~~
빠르게 번역해주셔서 보안에 대해 일깨워주심에 감사드립니다^^
기부받은 스팀달러를 왜 아직까지 보유중이신가요? 필요하신 당사자에게 전달되어야 하지 않나요? 언제 어떻게 지급할건가요?
좋은 정보 감사합니다 ^^