[STEEM TIP] 스팀커넥터에 의한 엔진토큰은 안전합니다.
안녕하세요 예비증인 @ayogom 입니다.
몇일 전에 [STEEM TIP] 엔진 토큰 발행으로 인해 다시 한번 포스팅키 관리에 대해서 이라는 글로 여러분들에게 잘못 된 정보를 드린것 같아서 정정 하고자 글을 다시 한번 남깁니다.
이전 글의 주된 내용은 스팀커넥터에서 주는 custom json 의 관리에 대한 이야기였습니다.
하지만 엔진토큰의 경우 custom json 에 대한 관리를 신경쓰지 않으셔도 됩니다. 이유인 즉, custom json 은 확인 결과 2가지 타입으로 정의가 되어 있습니다. 이 이야기가 무슨이야기냐면 간단하게 2가지 전송로그를 확인해보겠습니다.
스팀몬스터(디럭워)의 custom json
엔진토큰의 custom json
이 2개의 차이점이 보이시나요?
자세히 보면, 스팀몬스터(드럭워) 의 경우 required_posting_auths에 해당 계정 (@ayogom)이 쓰여져 있고, 엔진토큰의 경우 required_auths 에 해당 계정이 쓰여져 있습니다.
required_auths 의 경우 액티브키를 요구합니다.
required_posting_auths 의 경우는 포스팅키를 요구합니다.
즉, 이전글에서 언급했던, 아래와 같이 권한을 위임할 경우에도
엔진토큰에 대한 required_auths 권한은 없기 때문에 권한 탈취를 당하더라도 엔진 토큰은 무단으로 가져갈 수 없습니다.
따라서 스팀커넥터에 의한(포스팅키 위임의 경우) 도난시에도 스팀토큰은 무사 할 수 있습니다!
그럼 여기서 한가지 궁금한 부분이 생깁니다.
스팀몬스터를 즐기시는 분들 카드 거래 및 이동에 대해서 엔진토큰과 동일하게 권한을 required_auths 올리는 것이 필요할까요? 의견 주시면 스팀몬스터 팀에 제안 하도록 하겠습니다.
끝으로 괜한 오해를 드려서 죄송합니다
추가적으로 토큰을 일괄 전송하는 툴을 만들어뒀습니다. 거창한건 아니고 예전에 @asbear 님이 만들어 두신 tool에 몇가지 수정하여 만들었습니다. 혹시나 토큰을 한번에 보내야 되는 경우가 생기시면 사용해보시고, 문제가 있으면 피드백을 부탁드립니다!
https://ayogom.github.io/web/steeme/
이전글에 코멘트를 주셨던 분들을 다시 소환합니다 ^^;
@jaydih @likuku @greenswell @fur2002ks @woolgom @kibumh @kimkwanghwa @mimistar @cine @solnamu
그나저나 애즈베어님 잘 지내시나요? 못본재 오래됐네요
그러게요 ㅠ 저도 잘 모르겠습니다. 다만 바쁘시다고 .... 듣기만;
required_auths 의 경우 액티브키를 요구합니다.
라고 하는건
뭘 이동할 때 또는 요구할 때 키를 입력해야한다는 뜻인거죠?
엔진에서 발행된 토큰이 거래될때 액티브키를 필요로 한다는 뜻입니다 ^^ 따라서 스팀 커넥터(포스팅 키) 해킹으로는 토큰 탈취는 불가능입니다
이렇게 후속 설명까지 해주셔서 감사합니다. :)
잘못 된 정보라 ㅋㅋ 다시 알려드려야지죠 ㅠ