Profile
서리

2018.05.29

FUD BREAKER

중국 보안업체 365의 도움으로 EOS의 취약점 수정 완료

Views 1304 Votes 8

 

 

ddd.png

 

중국 보안업체 365의 도움으로 EOS의 취약점이 수정 완료 

 

금일 떠돌았던 중국 보안업체 360의 EOS 취약점 관련 이슈(http://www.360.cn/newslist/dnaq/360fxqklssjldkwqkzxnhbjy.html)가 모두 해결되었습니다. 최근 블록원의 CTO인 댄 라리머는 EOS 의 개발이 막바지에 이르며 EOSIO에 대한 공개 버그 바운티 프로그램을 실시하였고, 이번 365의 제보와 기사는 그에 따른 버그 리포팅으로 진행되었으며 현재 모두 버그 픽싱이 완료되었습니다.

 

메인넷 런칭 전 다양한 채널을 통해 EOS 의 성공적인 런칭을 위한 소프트웨어 무결성 검증은 다양한 방식으로 이뤄지고 있으며, 현재 EOS 메인넷 런칭 프로시저에 대한 보안성 강화를 위한 접근도 동시에 이루어지며 EOS.IO의 의 성공적인 개발완료와 EOS 메인넷 런칭을 위한 준비가 한층 강화되고 있는 모습입니다.

 

EOS 메인넷 런칭은 한국 시간으로 약 6월 3일 오전 이후 준비에 돌입하며 약 한달여 정도의 기간 안에 성공적으로 런칭함을 목표로 하고 있습니다.

 

현재 EOS의 다양한 개발자 커뮤니티들은 EOS.IO를 통한 등록이 되지 않은 이더리움 지갑의 ERC-20 EOS 토큰들의 메인넷 전환을 지원하는 툴을 개발하여 제공할 예정이며 이를 통해 한층 더 성공적인 EOS 메인넷 런칭과 커뮤니티 참여가 가능해질 것으로 기대됩니다. 추가적으로 현재 블록 프로듀서 후보들이 자발적으로 참여한 저사양 공개 테스트넷에서 금일 1,400 TPS를 달성한 소식이 전해졌습니다. 

   

  

 

 

Profile
9
Lv

12개의 Comment

Profile

https://github.com/EOSIO/eos/issues/3498

라이머가 수정완료 했네요

 

121.png

 

Profile
소닉
2018.05.29

팩트 감사합니다.  괜히 제가쓴 글로 인해 여러분들 오해 없으셧으면 좋겟습니다.  정보가 부족해서 올린글이라.   항상 수고 많습니다. 

Profile
푸른바다
2018.05.29
와우~~360팀 10000$
Profile
olibit
2018.05.29
서리님의 팩트정보로,
타 커뮤니티 FUD잠재웠습니다...!!!
Profile
서리
2018.05.29
@olibit
감사드립니다.
Profile
창하오
2018.05.29

Oracle Chain, 오늘 치후 360과 전략적 합작 달성 공표

 

음... 뭔가 잘 짜여진 각본인 듯.
뭐 이렇게 합작이 일사천리로 진행될리가?

웬지 슈퍼노드들 사이에 경쟁이 격렬하고. .
이런 사건들을 만들고 있을거 같네요.
ㅡㅡㅡㅡㅡ
출처 : http://www.btweek.com/news/15419/

Oraclechain 과 360은 전력 협력에 달성했다, 공동으로 슈퍼 노드 보안 솔루션을 만든다.

2018 년 5 월 29 일에 
Beijing oracle chain Technology Co., Ltd.
( Oracle Chain)은 
Beijing Qihoo Technology Co., Ltd. (360)와의 
전략적 제휴를 발표했으며 
양 당사자가 함께 협력하여 
블록체인 기반기술 및 블록 체인 서비스를,  
블록체인 오라클 서비스 및 블록체인 애플리케이션과에 대해 심층적인 협력을 합니다.  

Oracle chain과 360 협력하여, 
360 의 보안 브레인을 사용하여 
EOS 수퍼노드 보안 솔루션을 공동으로 만들고, 
협력 내용은 360의 보안 브레인을 통해 
oracle chain에 블록 체인 보안 기술 및 블록 체인 보안 서비스를 제공하는 것들 포함됩니다.

oracle는 현재 EOS 수퍼 노드 경선하고 있으며,
이 협력을 통해 슈퍼 노드 보안에서 oracle chain의 강점이 크게 향상 될 것입니다. 
가까운 시일에 양 당사자는 EOS 수퍼 노드 보안 솔루션에 대한 세부 정보를 공동으로 발표 할 예정입니다.
 

Profile

Screenshot_20180529-210055.png

 

Profile
창하오
2018.05.29

360 EOS 버그발표회, 기술인원 현장 인터뷰 내용

비스지에 bishijie 에서 
360측에서 발표한 EOS 버그 발표회에 
생방송으로 360기술 인원을 인터뷰한 내용을
마무리하기 기다려서 지금 번역해 올립니다.

《생방송》29일 오후4시에 360에서 EOS 버그 발표회 개최.
비스지에 에서 360기술인원을 현장 인터뷰 합니다.

최근에 360 Vulcan 팀은 블록체인 플랫폼 EOS에서 일련의 고위험 보안 취약점을 발견했습니다. 
이 취약점 중 일부는 EOS 노드에서 원격으로 임의의 코드를 실행할 수 있음을 확인했습니다. 
즉, 원격 공격은 EOS에서 실행되는 모든 노드를 직접 제어하고 인계 받을 수 있습니다.

29 일 새벽, 360은 제일 먼저 EOS 官方에게 취약점을 보고하고, 보안 위험을 복구하는 데 도움을 주었습니다. 
EOS 네트워크 책임자는 이러한 문제가 해결 될 때까지는 EOS 네트워크가 공식적으로 시작되지 않을 것이라고 말했다. 

29일 오후4시에 360에서 EOS 버그 발표회 개최.
비스지에 에서 360기술인원을 현장 인터뷰 합니다.

이하는 현장보도 내용입니다

1.이 bug는 EOS 개별 프로젝트에만 영향을 줍니까? 
아니면 DPOS, SuperNode 메커니즘 프로젝트에 영향을 줍니까?
A : bug 자체는 EOS를 타깃으로하고 있으며, 
유사한 bug가 다른 프로젝트에도 영향을 줄 수 있습니다.

2. bug은 얼마나 오래 존재했습니까?
A : 처음부터 적어도 1 년은 있지만 확실하지는 않습니다. 처음부터 있었을 것이며, 발견한지 약 한 달 반 정도됩니다. bug 공격 첫 번째 단계는 bug을 통해 스마트 계약을 업로드하고, bug를 통해 수퍼 노드를 제어하고 다른 노드 (예 : 대기 노드)를 공격하고 테스트 네트워크를 공격하는 것입니다. 
현재 아직 메인넷이 시동 전입니다. 
사용자에게 책임을 지는 각도에서, 메인넷 발표 전에 bug를 공표했습니다.

3. 실제 영향을 미치고 있습니까?
A : 아니요. 官方에 연락하여 코드를 수정했습니다.

4. 다른 토큰에도 존재합니까?
A : 가능합니다만, 같은 코드를 사용하지 않으면 안전히 똑같게 출현하지는 않습니다.

5. 악의 인 스마트 계약의 내용이 블록 체인의 일부가 되면 롤백되거나 되돌릴 수 있습니까?
A : 스마트 계약 구축 방법은 이 bug를 대상으로 하며 문제의 해당 코드를 구체적으로 구성합니다. 
bug가 수퍼노드의 제어에 영향을 주면 , wrong정보는 블록에 기록되지 않으며 변경해야 할 경우 롤백합니다


6. 어떻게 전염합니까?
A : 같은 bug으로 간주 될 수 있습니다. 수퍼 노드가 계약을 해석하면, 계약 해석은 제어됩니다. 컨트롤은 악성 코드를 패키지화하여 다른 노드에 줍니다, 다른 노드는 공격 받고 제어되며 전파됩니다.

7. 360이 블록 체인 보안 문제에 중점을 두고 다른 문제에도 주의를 할 것입니까?
A : 지갑, 광산pool 등 포함하여 항상 주의를 기울이고 있습니다. 
우리는 올해부터 이 작업을 하고 있습니다. 
EOS 메인넷이 곧 온라인 되고, 
코드가 빨리 업데이트 되므로,
보안 문제의 주의도가 적습니다. 
360은 또한 다른 지갑 보안에 대해 주의하고 있으며 
많은 국내외 지갑 bug가 많습니다.


8. EOS bug는 전통적인 네트워크 문제와 어떻게 비교됩니까?
A : 블록 체인이 새롭지만 전통적인 보안 문제도 발생할 것이며 개인 정보 보호 및 도스와 같은 새로운 문제가 발생할 것입니다. 따라서 우리는 강력한 보안 조치와 방어가 필요합니다. 
360은 체인의 감지를 기반으로 합니다 : 
1. 버그 공격의 발견 2. 방어 수단


9. 왜 bug를 발견한 것을 빨리 공포하지 않았습니까?
답변 : bug 프로세스는 비교적 복잡하며 특별히 발표되지 않았습니다. bug가 악용 될 수 있음을 입증하는 데 약 1 주일 정도 걸렸습니다. 버그를 수정하고 한 줄의 코드를 변경하는 것은 비교적 간단합니다. 이번에는 이 bug을 발견했을 뿐만 아니라 일련의 문제를 발견하여 EOS에 제출할 준비를 했습니다. 가장 심각한 보안 문제 및 bug 발견만 먼저 공포한 것입니다. 

10.eos 플랫폼 및 공식 피드백 어떻습니까?
A : 오늘 아침에 연락을 했는데 어젯밤에 복구를 햇고,
아침에 연락을 하니 복구가 되면 즉각적인 정보를 얻을 수 있다고 합니다. 아직 보지 못했습니다.

 

Profile
창하오
2018.05.29

11. 간단한 코드는 복구가 간단합니다, 메인넷 론칭에 영향을 주지 않을까요?
A : 메인넷은 우리의 결정이 아니지만, 여전히 그들의 일련의 계획을 보았습니다. 현재로 보면 여전히 복구가 매우 빠르며 다른 일련의 bug도 계속해서 제공될 것입니다.
이 비교적 심각한 거 빼고도 아직 지속되는 다른 조그만 bug가 있습니다. 
하나의 bug뿐 아니라 아직도 다른게 있고, 코드가 지속적으로 갱신하고 계속 bug를 생산할 수 있습니다.

12. ETH 외에도 다른 지갑에는 bug가 있습니까?
A : 20 개가 넘는 지갑을 테스트 한 결과, 지갑의 80 %가 다소 bug을 발견했습니다. 동시에 우리는 솔루션을 제공합니다. 
우리는 이전에 또한 모네로 (Monero)에 bug를 제출했으며 며칠 안에 이더리움 (Ethereum)에 bug를 제출할 것입니다.

13. bug가 전체 시장에 영향을 줍니까?
A : 주요 보안 문제는 디지털 통화의 일부 측면에 대한 우려를 유발하여 이익 추구 및 피해 예방의 관점에서 시장의 열정에 영향을 줍니다. 
EOS 이런 종류의 문제에 대해 개인은 아무 것도 할 수있는 방법이 없지만, 코인권은 지갑과 개인 키에서 더 높은 보안을 선택할 수 있으며 보안에 더 많은 관심을 기울일 수 있습니다. 개인에 대한 적극적인 공격과 fishing또한 증가 할 것이므로 보안 인식을 강화해야 합니다.

14. 블록 체인 보안 팀의 주력은 얼마됩니까?
A : 현재 360 블록 체인 보안 팀 구성원은 십여명입니다, 공격 및 방어 관점에서 테스트를 진행합니다.


15. 360은 EOS를 매도공세 하려는게 있는 거 아닙니까?
A : 매도공세 없습니다. bug가 있으면 官方에게 알립니다; 당신이 매도공세 하고 싶다면, 마스터 노드가 매도공세하기를 기다린 후가 더 효과적입니다.
360 팀은 확실히 기본적인 전문 소양을 지킵니다.

16. 업계내 안전 보고는 官方에 보고하면 그만입니다. 왜 공개적으로 대외 발표합니까? 
이 기회를 빌어서 블록 체인의 보안 분야에 들어갈 생각인거 아닌가요?
A : 360은 일찍부터 블록체인 보안 업계에 진입 해 왔습니다. bug 보고, 官方에 알리는 것. 이 보안 업계에서 매우 일반적이라고 말하지만, 이번에는 관심도가 비교적 커 보인다.

17. bug 공격은 구체적으로 무엇입니까?
A : 수퍼 노드를 빠르게 제어합니다. 몇 초 안에 제어 할 수 있습니다. bug를 모르면 반응이 비교적 곤란합니다.
만약 상응하는 보안 솔루션 및 보호 수단이 있는 경우, 사전에 및 이후에 발견 할수 있습니다.

Profile
hackerzizon
2018.05.30

Larimer Daniel, [30.05.18 00:53]
we have fixed all reported bugs, we have one crash in our unit tests in wavm that we are fixing

Larimer Daniel, [30.05.18 00:53]
that chiense report is FUD, it was fixed before it was even published

Any future bug reporters who stir up FUD will be disqualified from the bounty

기사가 나오기 전에 고쳤다고 하는군요. 그럼에도 기사 나가는 것만으로 FUD로 작용할 수 있군요.

Profile
서리
2018.05.30
@hackerzizon
좀만 제가 일찍 파악했어도.. ^^; 아쉽네요.
Profile
푸른바다
2018.05.30
10000$ 날라갔군요...악의적인것은 보상에서 제외한다고....
  • 서리 2018.07.11

    에브리피디아는 토큰 계정에 39.30 MB, DAPP 운용 계정에 3개월치 운용분 (잠정) 33.64MB 보유중 또한 에브리피디아의 에어드랍은 몇개 국가에서 증권법에 저촉될 가능성이 있음. 이를 먼저 해결하기 위해서는 IQ 토큰의 기능성(유틸리티 토큰)이 ...

  • [FUD Breaker] 한국 foresting 이라는 회사에 블록원이 투자 또는 고문으로 참여한다는 루머
    코남 2018.06.17

    ‘소문에 한국 foresting이라는 회사에 블록원이 투자 또는 고문등록을 한다는 애기들이 있지만, 투자담당 및 토마스, 코리와 내부 확인결과, 사실이 아니며, 저 또한 관련 투자사실이나 고문계획이 없음을 알려드립니다.' 아래 링크와 같...

  • 서리 2018.06.17

    위와 같은 이야기가 전해지고 있는데요. 실제 모든 메인 BP들은 정상적으로 블럭을 생산중입니다. http://eosnetworkmonitor.io 모니터 상에서는 당시 4개의 BP 가 마치 블록을 생성하지 않는 것 처럼 표시가 되었지만, 이는 bp 노드 정보를 나타내...

  • KOREOS 2018.06.12

    최근 EOS 메인넷 런칭 과정에 대해 다음과 같은 문제를 제기하는 내용이 있습니다. EOS 메인넷 론칭과정에서의 신뢰문제 트위터 원문 링크: https://twitter.com/el33th4xor/status/1005664183948664832 암호화폐 시큐리티 문제들에 대한 와치독이라...

  • EOS 메인넷 GO / NO GO 관련 진행사항 리포트 요약 060710 (UTC +9)
    서리 2018.06.07

    현재까지 발표된 크리티컬 보안 이슈는 없습니다. 물론 발생할 가능성을 배제할 수는 없습니다만, 현재 slow mist 는 네트워크 보안쪽 특히 bp 노드 보호에 대한 부분을 검토하고 있는 것으로 보입니다. 단순히 go / no go 는 보안이슈만을 고려하...

  • 서리 2018.06.04

    갑자기 미디엄을 통해 자극적인 제목을 가진 게시물이 공유되고 있습니다. 결론부터 말하자면, 게시물 자체가 시간이 한참 지난 FUD성 게시물입니다. 관련 게시물들이 퍼져나가면서 마치 블록원이 고객들의 자산 해킹을 당한 것 처럼 이야기 되고 있...

  • 서리 2018.05.30

    중국발 스캠, FUD 주의, 댄 라리머가 EOS FORCE 라는 메인넷을 지원한다. - 악의적 거짓 뉴스 메인넷을 앞두고 거짓 뉴스들과 스캠들이 판치고 있습니다. 어떠한 메인넷도 BP 후보들의 대거 참여 없이는 이뤄지지 않으며 BP 후보들은 현재 단일화된...

  • 서리 2018.05.29

    중국 보안업체 365의 도움으로 EOS의 취약점이 수정 완료 금일 떠돌았던 중국 보안업체 360의 EOS 취약점 관련 이슈(http://www.360.cn/newslist/dnaq/360fxqklssjldkwqkzxnhbjy.html)가 모두 해결되었습니다. 최근 블록원의 CTO인 댄 라리머는 EOS...

  • 서리 2018.05.16

    EOS 메인넷 런칭을 기점으로 EOS 에 대한 관심이 폭증하면서 의도적인 허위 정보 유포가 기승입니다. 누가 의도적인 거짓 정보를 유포하는지 알 수 없지만 그 목적은 명백하다고 봅니다. 부디 사실 확인 자료를 통해 거짓 정보 사이에서도 의연하시...

  • 서리 2018.05.04

    EOS 체인은 6월 2일 생성되는 것이 아닙니다. "분권화된 세계 EOS 토큰 민주주의"가 출범하는 설레이는 6월 한달이 될 것입니다. 본 게시물은 EOS의 메인 체인 런칭에 대한 객관적인 사실 전달을 목적으로 작성되었습니다. FUD와 FOMO를 떨치고 올...

  • EOS BP 탈락으로 가격 덤핑이 일어날까?
    서리 2018.05.01

    EOS에 대한 관심이 많아지면서 각종 루머들과 FUD 성의 게시물이 여러 커뮤니티들에 의도적으로 떠돌고 있는 것을 많이 목격합니다. 오늘은 EOS 의 BP 와 관련된 내용을 조금 소개드리고자 합니다. EOS에 관심을 가지시는 분들 중 단순 매매가 아닌...

  • EOS의 코인 복제 오류 루머 = FUD
    서리 2018.05.01

    중국 청두의 LianAn Tech 가 EOSIO 에 대한 스마트컨트랙트 취약성에 대한 의문을 제기하자 댄 라리머가 미디엄 계정을 통해 공식 입장을 밝혔습니다. 결국 이들이 보고한 문제는 EOSIO의 취약점이 아니라 이들이 잘못된 코딩을 실시한 결과라는 것...