저희는 11개의 Steem 계정을 해킹 했습니다 :) $21749 달러가 넘는 STEEM과 SBD를 갖고있습니다 😇

3년 전

저희는 ( @noisy & @lukmarcus) 실제로 9개의 비밀번호, 2개의 private active key 그리고 64개의 private memo key를 해킹 해버렸습니다.

Selection_999(152).png

요약 을 하자면:

  • 저희는 Steem 블락체인을 해킹하지 않았습니다
  • Steemit.com을 해킹한 것도 아닙니다
  • 펀드에서 훔친것도 아니며, 훔칠 수 있음에도 불구하고 저희는
    • 해킹한 계정들의 비밀번호를 원래대로 바꿔놨습니다.
    • 모든 돈을 각 계정의 예금 계좌에 넣어놨습니다.
    • 문제는 우리가 갖고있는 2개의 active keys들의 계정인데, 예전 비밀번호 없이 우리가 비밀번호를 바꿀 수 없었습니다. 그래서 그냥 모든 돈들을 예금 계좌에 넣어놨습니다.
  • 우리는 Steemit 웹사이트의 잘못된 설계 결함을 이용해 해킹했고, 많은 사용자들이 똑같은 실수를 범했습니다:

https://steemitimages.com/0x0/https://steemitimages.com/DQmVhNiEuBhNf1xE4NEufs7R3ZU5oPM6gQt39oQVu6mECLZ/Selection_999(152).png

그래서, 무슨 일이 일어난거야?

몇일전에 내 사촌이 암호화폐 지갑에서 돈을 보내다가 실수로 메모에다가 비밀번호를 복붙 해넣은걸 발견했어. 내가 조심하라고 조언을 해줬고 그래서 그는 비밀번호를 바꿨어. 근데 이게 날 뭔가 생각나게 만들었어... 만약 내 사촌이 그런 실수를 한다는건, 누구든지 그런 실수를 할수있는거 아닐까! 그리고 테스트를 해본 이 후에 내가 틀리지 않았단걸 깨달았어.

모든 Steem 거래 기록들을 분석하기 위해서 스크립트를 짜봤어. 거래마다 메모들을 모두 가져와서 그 유저의 공개키와 일치하는지 확인을 한거지.

결과 :

accounttypememo
dunjapasswordhurehurehure1234
anwen-meditatespasswordP5Kk17eRvytzkRzzngp1CdVbQvRqFUq8wrvw8SqNdcZwXot2JRXA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athleteyogamemo5KU2dcxLpSCJZ4SB8eBqUJs2PCEuwfx7w2XYCUmcnLqgdHHqjq2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inphinitbitmemo5J9uWL39vDYgEosscgxEziYQ2ybPbxM5e9sPkzTxgqTgNYC7Mx7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-cmemo5HqAhZBvbBJKVWJ1tsrg7xnS1dvNNyxBoHzp8Snvp9C6Uawx66x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-emmemo5KPT9Nhtho3qaAFkGQ4zqy7Dae1729WdYM5wL3UPyKVuTauonif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버그 수정

미래에 이런 일이 일어나지 않도록, 취약점을 발생시키는 코드를 수정해서 개발자 측에게 보냈어:

https://github.com/steemit/condenser/pull/1464

Selection_999(154).png

질문:

제 계정이 해킹되었어요, 어떻게 해야하나요?

안타깝게도 저는 steemit.chat 이나 discord로 당신에게 새 비밀번호를 전달해줄 수 없어요. 왜냐고요? 아무도 그 계정이 당신거란걸 증명할 수 없으니깐요. 저는 리스크를 감수해가면서 모르는 사람에게 당신의 계정에 접근할수 있게 하고싶지 않습니다.

여기에 가서 질문을 해보세요: https://steemit.com/recover_account_step_1

Selection_999(155).png

Selection_999(156).png
여기에 가면 이메일을 인증하고, 계정을 초기화 할수 있을겁니다.

중요한 점

스팀 블락체인 코드를 살펴보면, 계정 초기화는 마지막으로 비밀번호가 변경 된 30일 이후에 가능합니다.

제 계정이 그 리스트에 있고 private memo key가 올려져있네요 , 어떻게 해야하죠?

계정 비밀번호를 즉시 변경하세요.
이 링크에서 할 수 있습니다: https://steemit.com/@<your_login>/password

지금 당장 제가 올린 리스트에 있는 memo key들은 아무런 피해를 만들지 않을겁니다, 근데 먼 미래에 그 memo key들이 사용될 가능 성이 있습니다. 저 memo key를 알고있다는 것은, 누구던지 당신의 개인 메세지를 읽을 수 있다는건데, 그걸 원하진 않겠죠?

이제 어떻게 할 생각인가요?

아주 가까운 미래에, 보안에 관한 포스팅을 할 예정입니다 (뉴비들과 개발자들을 위해):

  • private, public 키가 작동하는 방법. 두개의 차이점이 무엇일까?
  • 왜 Steemit은 내가 183388명의 유저들의 비밀번호를 스캔하는걸 알아채지 못한걸까?
  • Steemit에서 유저들의 비밀번호이 브라우저에 저장되고 이게 안전한 이유.
  • Steemit에서 생성되지 않은 나만의 비밀번호 만들기
  • private posting key를 매일 이용하면서, 나의 Steemit 계정을 더욱 안전하게 지키는 법

를 팔로우 하면 Steemit에서 보안 관련된 글들을 받아 보실 수 있습니다 :)

P.S 매일마다 번역 포스팅을 하고있는 제 계정 @philipkoon을 팔로우하는 것도 잊지 말아주세요 !

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
STEEMKR.COM IS SPONSORED BY
ADVERTISEMENT
Sort Order:  trending

좋은정보 감사합니다.
해킹이란 단어만 들어도 무섭네요

수고 많이 하셨어요
매번 감탄합니다

주의해야할 부분을 알려주셨으니 관리를 잘 해야겠네요. 이런 정보 감사합니다~

오! 이런일이있었군요
알려주셔서 감사합니다

  ·  3년 전

번역 감사드립니다!ㅎㅎ

감사드리며 이후 포스팅도 번역해주시면 감사하겠습니다.

·
·
·

아닙니다. 제시해주신글은 번역글과 크게 다르지 않은 내용입니다. 노이즈가 예고한 미래에 포스팅될 글을 말씀드린겁니다.

·
·
·

알겠습니다! 이미 계정 팔로우 해놨고 글 올라오는대로 번역글 올리겠습니다 ~

·
·
·
·

감사합니다. 제가 번역되어졌으면 하는글들을 가끔 요청드려도 되겠습니까?

·
·
·
·
·

그러려면 오늘글이 보상이 좀 붙어주어야 하는데 어덜지 모르겠습니다.

·
·
·
·
·

번역할 거리가 생기면 저야 좋기때문에 편하게 요청 주세요!
업보트와 함께라면 뭐든지 😊😊

·
·
·
·
·
·

감사합니다.

어떻게 대처해야 할지 ㅠㅠ
좋은 정보 감사합니다~~

  ·  3년 전

빠르게 번역해주셔서 보안에 대해 일깨워주심에 감사드립니다^^

감사합니다 !

·

댓글 감사합니다 ☺️

기부받은 스팀달러를 왜 아직까지 보유중이신가요? 필요하신 당사자에게 전달되어야 하지 않나요? 언제 어떻게 지급할건가요?

좋은 정보 감사합니다 ^^