9월 14일 EOS기반의 몇몇 거래소 및 일부 도박 사이트 해킹 사건 정리

in #dexeos6 years ago

안녕하세요, DEXEOS의 Alex입니다.

어제 EOS기반의 DEX 및 Dapp들에서 해킹이 발생하여 이오스 커뮤니티에 많은 우려를 불러일으킨 사건을 간단하게 정리해드리겠습니다.

DEXEOS팀에서 사건을 접하게된 것은 15시 경 영어 텔레그램방의 한 유저분이 newdex에서 해킹이 지속적으로 일어나고 있다는 것을 말해주셨고, DEXEOS는 안전한지 여부를 물었습니다. 이에 확인에 들어갔고, 매우 간단한 수법으로 해킹이 되고 있다는 것을 파악하였습니다. newdex에서 상황을 인지하지 못하고 계속 해킹되고 있는 것을 확인하여 저희가 newdex측에 제보와 함께 간단한 해결책도 제시했습니다. 일부 도박 사이트들도 비슷한 수법으로 해킹을 당하고 있어 공식 채널을 통해 제보를 해주었습니다.

해킹 수법은 매우 간단합니다. 프로그래밍이나 해킹에 대한 지식이 없이도 충분히 이해할 수 있는 방법입니다.

(쉬운 설명을 위해 우리가 일반적으로 알고 있는 EOS를 코인으로, 그리고 IQ, BLACK, OCT 등을 토큰이라고 명칭하겠습니다. 일반적으로도 그렇게 부르고 있죠)

oo1122334455라는 계정을 갖고 있는 해커는 EOS라는 이름의 "토큰"을 발행하여 newdex에서 다른 토큰들을 대량으로 구매 하였습니다. 어떻게 이것이 가능하냐구요? EOS는 중복된 이름의 토큰도 발행이 가능합니다. 실제로 EOS라는 이름의 토큰이 여러 주체들에 의해서 발행되었습니다. Block.One에서 주최하는 해커톤에 참가했을 때, 프로토타입을 만드는 몇몇 팀들이 그럴싸하게 보이기 위해서 EOS라는 이름의 토큰을 발행하여 데모를 만드는 경우도 있습니다.

어쨌든, EOS라는 토큰을 newdex에서 EOS 코인으로 인식하여 다른 토큰들의 구매가 가능했던 것입니다. 정확한 시간 경과는 확인하지 못했으나, newdex에서 이런식으로 해킹이 가능해지자 몇몇 해커들이 EOSBET등에도 비슷한 수법으로 해킹을 하였습니다. DEXEOS에서도 누군가 시도해본 정황은 있습니다.


<DEXEOS Escrow에 들어있는 가짜 EOS 토큰>

보시면 EOS라는 토큰 44.9400개를 확인하실 수 있죠. 아마도 해커들이 저희쪽도 테스트를 하기 위해 전송해본 것으로 보입니다.

(아시다싶이 누군가 주는 토큰을 받는 것은 막을 수가 없습니다.) 하지만 저희는 거래 시 토큰 명만을 체크하는 것은 아니기 때문에 이런 수법으로 해킹을 하는 것은 불가능합니다.

해결방법

토큰 전송간에 토큰의 이름뿐만 아니라 컨트랙트 명을 같이 확인하면 됩니다.

토큰의 이름은 중복해서 발행할 수 있으나 컨트랙트 명은 복제가 불가능합니다. 해킹한 방법도 매우 간단하며 이 방법에 대한 해결책 또한 매우 간단합니다. 하지만 거래소뿐만 아니라 다양한 Dapp들에서도 같은 수법으로 해킹이 된 것을 보면 이런 간단한 대응책을 무시한 것으로 생각됩니다.

결론

일부 사람들은 블록체인 기술은 해킹이 불가능하다고 하는데, 해킹의 종류는 매우 다양하기 때문에 꼭 그렇다고 할 수는 없습니다. Private Key가 털리는 것도 해킹이고, 위와 같이 자산을 탈취하는 행위도 해킹입니다. (물론 모든 토큰 전송을 끝까지 추적할 수는 있습니다.) 이오스는 메인넷을 런칭한지 이제 100일가량 지났습니다. 다양한 방식의 해킹 시도가 있을 것이며 어제와 같이 간단한 수법이 먹힐 수도 있습니다. 그렇기 때문에 Dapp을 만드는 팀들뿐만 아니라 일반 유저들도 기본을 잘 지켜야 합니다.

Dapp 메이커: EOSIO 시스템에 대한 완전한 이해가 필요하며 제품을 만들 때 발생할 수 있는 해킹 가능성을 철저히 파악해야 함

일반 홀더: Private Key 관리

또한 커뮤니티 적으로 ECAF등을 통해 이상 거래 내역을 보이는 계정에 대한 동결 절차도 빠르게 마련되어야 하겠습니다.

※ 개인적으로는 앞으로 다양한 해킹 수법등이 등장할 것으로 생각합니다. 그래도 EOS가 기술적인 것 외에 갖고 있는 가장 큰 강점이 커뮤니티의 힘이라고 생각합니다. 다양한 사례들을 모으고, 이를 기반으로 꾸준히 수정, 발전해 나갈 수 있는 블록체인은 현재 EOS밖에 없습니다.

#hacking #newdex #eos #dex
6 years ago in #dexeos by
$0.16
  • Past Payouts $0.16, 0.00 TRX
  • - Author $0.12, 0.00 TRX
  • - Curators $0.04, 0.00 TRX
10 votes
Reply 1
Sort:  
  • Trending
    • [-]
     6 years ago 

    eos 라는 eos 토큰을 만들어서
    eos 코인으로 인식시켜서
    eosbet newdex 등에서 다른 토큰들을 대량으로 구매 탈취..

    해킹이라고 볼 수 있겠네요.

    종북 이름이나 심지어 코인 이름을 허용하는 토큰 명 뿐만 아니라,
    계약명을 확인하면 그런 일 없다고..

    좋은 정보이네요

    $0.10
    • Past Payouts $0.10, 0.00 TRX
    • - Author $0.07, 0.00 TRX
    • - Curators $0.02, 0.00 TRX
    2 votes
    Reply

    Coin Marketplace

    STEEM 0.20
    TRX 0.12
    JST 0.028
    BTC 64182.15
    ETH 3505.45
    USDT 1.00
    SBD 2.53