[알림] 분실 키 복구 솔루션 — 탈취된 ETH 프라이빗키로 인한 키 복구 취소 사례

AcroEOS
AcroEOS
Jun 13 · 5 min read

안녕하세요, AcroEOS입니다.

현재, EOS 분실 키 복구 솔루션 신청이 한창 진행중이죠. (recover account — Lost key)

분실된 키 복구는 간단하게 아래와 같은 절차로 이루어집니다.

① BP EOS Authority가 제공하는 접속 ② 분실된 키 복구 조건을 충족하는 EOS 계정 혹은 이와 연결된 ETH 지갑 주소 매칭 ③ 새로운 EOS 키쌍을 발급 받아 신청 후, 30일이 지나면 새로운 키쌍으로 복원되는 프로세스로 진행

참조: 분실된 키 복구 조건 — EOS Authority

어제 분실 키 복구와 관련하여 이슈가 하나 있었습니다. 바로 원 소유자의 ETH 프라이빗 키가 탈취되어, 해커가 소유자보다 먼저 분실 키 복구를 신청해버린 케이스입니다. 이대로라면 해커가 생성한 EOS 키쌍으로 원 소유자의 계정이 복원되고, 해당 계정의 EOS가 해커에게 탈취될 위험에 처한 것입니다.

(※ 위와 같이 충분히 발생할 수 있는 사례들을 염두하여, 분실 키 복구 기간을 30일로 설정함)

원 소유자는 BP EOS WIKI를 통해 도움을 요청했고, 아래와 같이 자신이 해당 EOS 계정과 ETH 주소의 소유주임을 입증할 수 있는 ETH 트랜젝션 메시지를 생성하였습니다.

{
“address”: “0x82f778626aea9f95aac204bd1c29f92b297b4ad2”,
“msg”: “Please reject the automated key recovery process initiated on the account hazdkmjzgage. I have signed this message with the Ethereum address 0x82f778626aea9f95aac204bd1c29f92b297b4ad2 associated with the EOS account as shown on ",
“sig”: “0x2b2c808aa477cd1bc7e1ba2e0ed8774635e6448b3de9a1ab86d21444b0b190d53bf4a8e803c5d5ba3f50bae4cb73ae1ae7577e2e5c06825a1c9844a76cde48c51b”,
“version”: “3”,
“signer”: “trezor”
}

이후, 해당 계정 복구 건에 대해 MSIG를 통해 8명의 BP가 승인하면서, 해당 계정은 현재 분실된 키 복구 프로세스가 중지된 상태입니다.

※ Lost key Whitelist MSIG는 제안 당시, 키 복구를 원활케 하기 위해 8인 이상 BP 승인 시, 유효하도록 제안 되었습니다.

참조:

분실된 키 복구는 오직 한 번만 진행할 수 있기 때문에 해커는 탈취에 실패했고, 원 소유주 또한 마찬가지로 키를 복구할 수 없게 되었습니다.

현재까지 이와 같은 케이스는 드물었지만, 앞으로도 유사한 상황이 발생한다면, 자신의 ETH 주소로 메시지를 보내 발생한 트랜젝션으로 소유권을 증명하고, BP MSIG (8명 이상 승인 시, 유효)로 키 복구를 취소하는 형식으로 진행될 것으로 보입니다.

소유권을 증명할 수 있는 메시지 작성

이를 통해, 분실된 키를 조작하여 해커가 EOS를 탈취하는 것은 최소한 방지할 수 있다는 입장입니다.

Contact

EOS producer name : acroeos12345
Email : community@acroeos.io
Steemit :
Medium :
Twitter :
Telegram :
Wechat : AcroEOS信息站!
Proxyname : votetochange

AcroEOS

AcroEOS

AcroEOS

Written by

AcroEOS

AcroEOS

AcroEOS

AcroEOS