저희는 11개의 Steem 계정을 해킹 했습니다 :) $21749 달러가 넘는 STEEM과 SBD를 갖고있습니다 😇

in #kr7 years ago (edited)

저희는 ( @noisy & @lukmarcus) 실제로 9개의 비밀번호, 2개의 private active key 그리고 64개의 private memo key를 해킹 해버렸습니다.

Selection_999(152).png

요약 을 하자면:

  • 저희는 Steem 블락체인을 해킹하지 않았습니다
  • Steemit.com을 해킹한 것도 아닙니다
  • 펀드에서 훔친것도 아니며, 훔칠 수 있음에도 불구하고 저희는
    • 해킹한 계정들의 비밀번호를 원래대로 바꿔놨습니다.
    • 모든 돈을 각 계정의 예금 계좌에 넣어놨습니다.
    • 문제는 우리가 갖고있는 2개의 active keys들의 계정인데, 예전 비밀번호 없이 우리가 비밀번호를 바꿀 수 없었습니다. 그래서 그냥 모든 돈들을 예금 계좌에 넣어놨습니다.
  • 우리는 Steemit 웹사이트의 잘못된 설계 결함을 이용해 해킹했고, 많은 사용자들이 똑같은 실수를 범했습니다:

https://steemitimages.com/0x0/https://steemitimages.com/DQmVhNiEuBhNf1xE4NEufs7R3ZU5oPM6gQt39oQVu6mECLZ/Selection_999(152).png

그래서, 무슨 일이 일어난거야?

몇일전에 내 사촌이 암호화폐 지갑에서 돈을 보내다가 실수로 메모에다가 비밀번호를 복붙 해넣은걸 발견했어. 내가 조심하라고 조언을 해줬고 그래서 그는 비밀번호를 바꿨어. 근데 이게 날 뭔가 생각나게 만들었어... 만약 내 사촌이 그런 실수를 한다는건, 누구든지 그런 실수를 할수있는거 아닐까! 그리고 테스트를 해본 이 후에 내가 틀리지 않았단걸 깨달았어.

모든 Steem 거래 기록들을 분석하기 위해서 스크립트를 짜봤어. 거래마다 메모들을 모두 가져와서 그 유저의 공개키와 일치하는지 확인을 한거지.

결과 :

accounttypememo
dunjapasswordhurehurehure1234
anwen-meditatespasswordP5Kk17eRvytzkRzzngp1CdVbQvRqFUq8wrvw8SqNdcZwXot2JRXA
jakethedogpasswordP5JEo9aSW6CAF6apUsMbxqSe6r991T5G35uXcoYMP1PmifBRqX87
miketrpasswordP5JEZWqSV28XAGrwMXn5G2Sx4dADvS5mz4DrrtjoraY8nmB59Rrb
blacktigerpasswordP5HufQw3V442c4DREjUL4Ed4fQ41VzBhPtn5SkCBDJ25tuRFg1UC
quetzalpasswordP5KC2JAHPyuA5tBn4K8PxoLuwXqHx51GHy7tG3gD7DupKH8NxqZz
tieuthuongpasswordP5HybN5mguE6G2QB4BVKbreexEtxJD84veHcz4s3L9R8JLQ6m85V
aubreyfoxpasswordP5J5wS2gkQBv3U6WPgHU9gUTitbWE4V5CKYeEhZGVa3VGgkzQU2p
virtualgrowthpasswordP5Kifqmdm38WPHpn2FUigLbhfD7FatHAHfcuRU5xSi16AFJFex3r
trumpactive5KWkAdBieGJ8TwrpudKjJ3txTGKdjKSBHPgjiH1RGgFRWXp8uM9
amrsaeedactive5JqaDeu2s3BsG9QYenpz2xjLfg3qdaeWhXduYNUSmK7KWAywx93
trumpmemo5KWkAdBieGJ8TwrpudKjJ3txTGKdjKSBHPgjiH1RGgFRWXp8uM9
alaomemo5JBGwoooi1gEUXBhu6up1qWdsKKKG1TEakQwaBNMb95dup5f9xh
athleteyogamemo5KU2dcxLpSCJZ4SB8eBqUJs2PCEuwfx7w2XYCUmcnLqgdHHqjq2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inphinitbitmemo5J9uWL39vDYgEosscgxEziYQ2ybPbxM5e9sPkzTxgqTgNYC7Mx7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-cmemo5HqAhZBvbBJKVWJ1tsrg7xnS1dvNNyxBoHzp8Snvp9C6Uawx66x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-emmemo5KPT9Nhtho3qaAFkGQ4zqy7Dae1729WdYM5wL3UPyKVuTauonif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버그 수정

미래에 이런 일이 일어나지 않도록, 취약점을 발생시키는 코드를 수정해서 개발자 측에게 보냈어:

https://github.com/steemit/condenser/pull/1464

Selection_999(154).png

질문:

제 계정이 해킹되었어요, 어떻게 해야하나요?

안타깝게도 저는 steemit.chat 이나 discord로 당신에게 새 비밀번호를 전달해줄 수 없어요. 왜냐고요? 아무도 그 계정이 당신거란걸 증명할 수 없으니깐요. 저는 리스크를 감수해가면서 모르는 사람에게 당신의 계정에 접근할수 있게 하고싶지 않습니다.

여기에 가서 질문을 해보세요: https://steemit.com/recover_account_step_1

Selection_999(155).png

Selection_999(156).png
여기에 가면 이메일을 인증하고, 계정을 초기화 할수 있을겁니다.

중요한 점

스팀 블락체인 코드를 살펴보면, 계정 초기화는 마지막으로 비밀번호가 변경 된 30일 이후에 가능합니다.

제 계정이 그 리스트에 있고 private memo key가 올려져있네요 , 어떻게 해야하죠?

계정 비밀번호를 즉시 변경하세요.
이 링크에서 할 수 있습니다: https://steemit.com/@<your_login>/password

지금 당장 제가 올린 리스트에 있는 memo key들은 아무런 피해를 만들지 않을겁니다, 근데 먼 미래에 그 memo key들이 사용될 가능 성이 있습니다. 저 memo key를 알고있다는 것은, 누구던지 당신의 개인 메세지를 읽을 수 있다는건데, 그걸 원하진 않겠죠?

이제 어떻게 할 생각인가요?

아주 가까운 미래에, 보안에 관한 포스팅을 할 예정입니다 (뉴비들과 개발자들을 위해):

  • private, public 키가 작동하는 방법. 두개의 차이점이 무엇일까?
  • 왜 Steemit은 내가 183388명의 유저들의 비밀번호를 스캔하는걸 알아채지 못한걸까?
  • Steemit에서 유저들의 비밀번호이 브라우저에 저장되고 이게 안전한 이유.
  • Steemit에서 생성되지 않은 나만의 비밀번호 만들기
  • private posting key를 매일 이용하면서, 나의 Steemit 계정을 더욱 안전하게 지키는 법

를 팔로우 하면 Steemit에서 보안 관련된 글들을 받아 보실 수 있습니다 :)

P.S 매일마다 번역 포스팅을 하고있는 제 계정 @philipkoon을 팔로우하는 것도 잊지 말아주세요 !

Sort:  

좋은정보 감사합니다.
해킹이란 단어만 들어도 무섭네요

감사합니다 !

댓글 감사합니다 ☺️

감사드리며 이후 포스팅도 번역해주시면 감사하겠습니다.

아닙니다. 제시해주신글은 번역글과 크게 다르지 않은 내용입니다. 노이즈가 예고한 미래에 포스팅될 글을 말씀드린겁니다.

알겠습니다! 이미 계정 팔로우 해놨고 글 올라오는대로 번역글 올리겠습니다 ~

감사합니다. 제가 번역되어졌으면 하는글들을 가끔 요청드려도 되겠습니까?

그러려면 오늘글이 보상이 좀 붙어주어야 하는데 어덜지 모르겠습니다.

번역할 거리가 생기면 저야 좋기때문에 편하게 요청 주세요!
업보트와 함께라면 뭐든지 😊😊

감사합니다.

주의해야할 부분을 알려주셨으니 관리를 잘 해야겠네요. 이런 정보 감사합니다~

오! 이런일이있었군요
알려주셔서 감사합니다

번역 감사드립니다!ㅎㅎ

수고 많이 하셨어요
매번 감탄합니다

어떻게 대처해야 할지 ㅠㅠ
좋은 정보 감사합니다~~

빠르게 번역해주셔서 보안에 대해 일깨워주심에 감사드립니다^^

기부받은 스팀달러를 왜 아직까지 보유중이신가요? 필요하신 당사자에게 전달되어야 하지 않나요? 언제 어떻게 지급할건가요?

좋은 정보 감사합니다 ^^