[스팀몬스터] 스팀몬스터의 패스워드 관리의 중요와 스팀커넥터
안녕하세요 고래를 꿈꾸는 피라미 @ayogom 입니다.
최근에 스팀몬스터 게임이 시작 되면서 스팀몬스터의 열기가 아주 뜨겁습니다.
그에 따른 스팀몬스터 패스워드 관리에 대해서 이야기를 나눠볼까 합니다.
1부. 스팀몬스터의 패스워드
일반적으로 우리가 사용하고 있는 스팀잇은 3종류의 패스워드가 있는 것으로 알고 있습니다.
그리고 스팀몬스터에서는 Posting key 를 사용합니다.
보통 포스팅키라고 하면, 최대 권한이 글을 쓰고, 보팅을 하는 것이기 때문에,
해킹을 당하더라도, 크게 중요하지 않다. 그래서 주로 포스팅키로 로그인 하세요
이런 이야기를 많이 볼 수 있는데요, 이 스팀몬스터에서는 아주 중요한게 포스팅키입니다.
모든 거래가 포스팅키로 이뤄지기 때문입니다.
따라서 스팀 몬스터 유저라면, 포스팅키 관리 또한 잘해주셔야 합니다.
2부. 스팀커넥터와 패스워드
여기서 스팀잇을 자주 하시는 분이면 추가적으로 기억 나는게 있습니다. 바로 스팀커넥터 입니다. 스팀 몬스터 내의 거래 방식은 계정의 Custom Json 권한을 통해 이뤄집니다, Custom Json권한이 무엇이냐,
| Busy 를 사용 | SteemPeak 을 사용 |
|---|---|
 |  |
Custom Json 권한을 요구하고 있습니다, 즉, 해당 사이트의 스팀커넥터가 해킹을 당하면,
여러분의 스팀몬스터 카드가 결코 안전하지 않음을 의미 합니다.
이것은 이미 사례를 통해 알 수 있습니다. 이전에 Utopian 은 이미 해킹을 당한 경우가 있었습니다.
사례 : Utopian.io Hack - May 3rd - May 4th 2018. No Wallets Or Keys Compromised.
이 경우에는 오직 vote/downvote 에만 발생을 했지만,
이제 최악의 경우에는 스팀몬스터 카드를 도난 당할 수 있습니다.
제가 그 모의 케이스를 테스트 해봤습니다.
'1. 탈취하고자 하는 계정의 카드 정보를 조회 (C-845Q7J1T4W)
'2. 스팀 커넥터를 이용하여 해당 정보를 전송. 후 성공
'3. Log 확인
ayomgom 계정으로 C-845Q7J1T4W 카드를 선물 보냄.
'4. ayogom 계정에서 선물을 확인
 |  |
|---|
3부. 패스워드 관리에 대한 추가 이해
현재 스팀몬스터는 위에서 언급 한 것처럼 포스팅 키를 통해 로그인이 됩니다. 그래서 포스팅키 관리를 잘해야 합니다.
스팀몬스터의 거래 및 게임은 "Custom Json" 권한을 통해 이용됩니다. 스팀커넥터에서 "Custom Json" 권한을 요청하는 dApp 이 해킹 당하면, 관련 권한이 넘어가기 때문에 해킹 당할 수 있습니다. 예를 들어, 제 경우 입니다.
| img | 설명 |
|---|---|
| 저는 스팀커넥터를 자주 사용하기 때문에 여러 사이트에서 권한을 위임하고 있습니다. 순서대로 하나씩 체크해 보겠습니다 tripsteem - Custom Json (O) tasteem - Custom Json (O) steempeak - Custom Json (O) steemhunt - Custom Json (O) steemgazua - Custom Json (X) steemplus - Custom Json (O) PeakMonsters - Custom Json (O) Artisteem - Custom Json (O) dclick - Custom Json (O) busy - Custom Json (O) |
제 경우에는 10개의 스팀커넥터를 사용하고 있는데 그중에서 9개가 "Custom Json " 권한을 요구하고 있습니다. 사실 지금까지는 Custom Json 이 중요하다고 생각치 않았기 때문에 별로 신경을 쓰지 않았지만, 스팀몬스터 거래는 Custom Json 으로 이뤄지기 때문에 중요하다고 생각이 된겁니다.
평소에 스팀몬스터를 본인의 포스트키로만 즐기더라도, 해당 계정이 스팀커넥터를 이용해서 사용하고 있다면, 해당 사이트 해킹으로 인해 스팀커넥터 권한이 탈취되어버리면, 스팀몬스터 카드가 위험하다는 이야깁니다.
4부. 해결 방법
사실 분명한 해결 방법은 없습니다. 일단 스팀몬스터 팀에게 포스팅키는 위험하다는 의견을 남겼습니다. 해당 팀에서 그 부분인 이미 인지하고 있기 때문에 포스팅키가 아닌 액티브키로 업데이트를 할 것 같습니다. (아마도 스팀커넥터를 사용하겠지만..)
제 개인적인 생각으로는 평소에 사용하는 아이디와 대전용 아이디를 구분하고 잘 관리하는게... 유일한 방법이지 않을까 생각합니다. 평소 사용 하는 아이디는 사실 여기저기 많이 로그인을 하기 때문에... 그 중에 한쪽이라도 해킹을 당한다면, 재산을 잃을 수 있습니다. 따라서 오직 스팀몬스터 전용 계정을 만들어 사용하는게 좋을 것 같습니다.
즉, 단일 계정을 여러 곳에서 사용하지 않고 오직 스팀몬스터 전용 계정을 통하면, 포스팅키만 관리를 하면 되기 때문에 관리 요소가 줄어듭니다. 따라서... 전용 계정으로 스몬은 포스팅키로 직접 로그인 하는 것을 추천 하고 싶습니다
별도로 이중화도 생각을 했지만, 그것은 탈 스팀체인을 의미 하기 때문에 결코 쉽지 않을 것 같습니다.
뭐, 아무튼! 패스워드 관리를 잘 하셔서 카드를 지켜봅시다..
추가. 스팀커넥터 권한 회수하기
https://steemconnect.com/apps/authorized
위의 사이트에 로그인을 하게 되면 현재 권한을 위한 리스트가 보입니다.
하나씩 Revoke 를 누르면 됩니다. 한방에 하시려면 아래의 All revoke 하시면 됩니다 (전 all 은 안되서 하나씩 했습니다..)
카카오톡 대화방 : https://open.kakao.com/o/g1MCypW
텔레그램 스팀몬스터 전략방 : https://t.me/steemmonster
네이버 카페 : https://cafe.naver.com/steemit2
끝으로 홍보하나,
지역 내 대학교에서 스팀잇을 홍보 하기로 했습니다!
관련글을 링크 하오니 읽어보시고 응원 부탁드리겠습니다!
잘은 이해가 안 가지만 중요한 사항을 가르쳐주신것같습니다! 감사합니다!
글 내용을 좀더 추가 해봣습니다 이해가 안되면 다시 한번 물어봐주세요 ㅎ
이게 제가 스몬을 안해서 잘 모르겠는데 custom_json권한을 주는데 또 다른 custom_json권한을 가진 앱이 해킹당해서 스몬이 해킹당할 수 있다는 것을 말씀하시는건가요?
네 ㅎ 맞아요 custom_json 을 중요하게 아무도 안보니깐..ㅎ
앗. 이건 스몬측에서 빨리 대응해야겠네요
네 이게 어려운게.. 방법이 안 보이네요 ㅠㅠ 일단은... 스몬측하고도 다시 이야기를 나눠봐야 할것 같아요
오~ 뭔가 이해되는것 같으면서도...ㅎㅎ 대전만 안하면 되는거 아닌가요?ㅋㅋ
아뇨, 그런것 보다.,, 포스팅키 관리잘하고
스팀커넥터 위임한 권한이 문제 없도록.... 기도 하는정도?
기도 하기 그러니깐 스팀커넥터에 위임을 안하는거죠,, ( 전용 계정을 만들어서)
그럼 결국 본인의 포스팅키만 관리를 잘 하면 되니깐
아~ ~ 기도하기 그러니깐 대전 안하는걸로...ㅋㅋㅋㅋㅋㅋ
ㅋㅋㅋ 카드 사고 파는것도 다 포함입니다....
헉!! 이런~ 진작 그렇게 말씀하시지... ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
ㅋㅋㅋㅋ 아, 이것첨, 어렵네요
아마 SMT관련 프로젝트에서 JSON 을 사용하면 동일하게 발생할 문제 같습니다 ㅠ
스몬 전용 계정을 따로 파야 할 현실적인 이유가 또 있네요.
맞습니다 ㅎㅎ 가능하다면, 그렇게 관리 하는게 좋을 것 같아요..
.조심은 여러번 해도 나쁠것이 없죠 ㅎ 귀찮을 뿐이지
저 이제 스몬 입문잔데 글 감사합니다!!
입문자인데 계정부터 새로 파야하게 생겼네요 ㅋㅋ
이놈의 해킹관련해서 보안을 본인이 다 책임져야하니.. 개선이 안되려나요..
해킹당하면 그냥 끝이니까요 ㅠㅠ 서비스는 이용해야하는데
그러니깐요,, 일단 해킹 가능 경로가 너무 많은것 같아요 ㅋㅋ 특히 저는
좋은 정보 와 좋은 내용 이네요.
리스팀 하고 가요~~
감사합니다 ^^
중요한 내용이라 집에서 천천히 읽어볼께요 좋은 정보 감사합니다~
감사합니다. 스팀몬스터를 하시면 한번쯤 보시면 좋을 것 같아요 ㅎ
ㅜㅠ 저는 얼마안되지만 카드 많으신분들은 넘 무서울듯하네요.
그쵸 무섭습니다 ㅎㅎ 전 오늘 다 Json 권한 필요로 하는건 다 연결 끊었네요 ㅠ