Hacker News 의견

• 최근 관련 사건: Bybit가 해킹으로 15억 달러 손실을 입음

  • 공격자들이 다중 서명 콜드 스토리지 지갑에서 약 15억 달러를 탈취했음
  • 공격자들이 여러 서명자의 기기를 손상시키고, 서명자들이 지갑 인터페이스에서 보는 것을 조작하여 서명자들이 일상적인 거래를 수행한다고 믿는 동안 필요한 서명을 수집했음

• 해커들이 원격 접근을 통해 '서명자들이 지갑 인터페이스에서 보는 것을 조작'할 수 있다면, 이는 콜드 스토리지로 보이지 않음

• 다중 서명 상호작용에서 해킹당할 수 있는 세 가지 방법:

  • 다중 서명 스마트 계약이 소유됨
  • 서명하는 컴퓨터가 소유됨
  • 사용하는 하드웨어 지갑(ledger, trezor)이 소유됨

• Gnosis Safe라는 다중 서명 계약은 매우 견고한 것으로 나타났고, 하드웨어 지갑은 공격하기 매우 어려움. 현재 약점은 컴퓨터임

• 암호화폐 회사들은 서명을 위한 더 잠긴 전용 기기로 이동하고, 하드웨어 지갑 화면에 표시되는 것을 실제로 확인하는 방식으로 문제를 해결해야 함

• 온라인 보안 세계는 매우 혼란스러움. 다른 공학 분야에서는 외국 국가가 만든 것을 명시적으로 목표로 삼는 경우가 거의 없음

  • 예를 들어, 고층 건물은 지속적인 포격을 견디도록 설계되지 않음
  • 자동차도 탱크 포탄을 견디도록 설계되지 않음
  • 북한이 미사일로 사람을 죽이거나 작은 건물을 파괴하면 대중의 분노와 신속한 군사적 대응이 있을 것임

• 그러나 온라인에서는 상황이 다름. 북한은 원하는 대로 시스템에 공격을 가할 수 있고, 주된 반응은 "더 안전한 시스템을 구축했어야 했다"는 것임

  • Bybit 사람들이 더 조심할 수 있었겠지만, 온라인 환경이 얼마나 혼란스러운지 인식할 필요가 있음

• 이 게시물은 해킹이 어떻게 발생했는지에 대한 세부 정보가 부족함

  • 도구에 대해 이야기하는 것을 보면, 사람들이 악성 소프트웨어를 다운로드하고 실행하도록 속았다는 것을 이해하는 것이 맞는지 궁금함

• 공격자들이 여러 서명자의 기기를 손상시키고, 서명자들이 지갑 인터페이스에서 보는 것을 조작하여 서명자들이 일상적인 거래를 수행한다고 믿는 동안 필요한 서명을 수집했음

  • 서명자가 몇 명인지 아는 사람이 있는지 궁금함

• 암호화폐에 대해 거의 모르는 상태에서 진지한 질문: 이 공격에서 실제로 돈을 잃은 사람은 누구인지? 많은 개인들인지?

• 9년 전 5천만 달러가 도난당했을 때 ETH가 하드 포크했던 것을 기억함

• 내 이해로는 이 다중 서명이 실패한 이유는 대부분의 보안처럼 모두가 '예'를 누르고 소통하거나 조사하거나 질문하지 않았기 때문임. 다중 서명의 목적을 무의미하게 만듦

• 왜 이들을 여러 개의 별도 지갑으로 분리하지 않는지 정말 이해할 수 없음