RE: 이더 15만개는 어떻게 털렸을까? parity 다중서명 지갑(계약) 취약점 살펴보기

You are viewing a single comment's thread from:

이더 15만개는 어떻게 털렸을까? parity 다중서명 지갑(계약) 취약점 살펴보기

in kr •  7 years ago 

헐 저 소스가 실 사용되고 있던 부분이라면 애초에 보안이 취약했던 것 아닐까요? 가상화폐의 모든 소스들에대해 취약성부터 검증해야될듯하네요ㅠㅠ

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  

일단 패리티에서 개발한 다중서명 지갑 코드를 사용한 경우에 모두 해당하는 문제가 있었습니다.
즉 OpenZeppelin 에서 만든 코드를 사용한 경우에서는 취약점이 없었습니다.

다만 패리티에서 말하기를 취약점 발생 당시 UI쪽 대규모 업데이트에 작은 컨트렉코드가 껴있는 상태였기 때문에 해당하는 코드리뷰가 제대로 이루어 지지 않았다는 발표가 있었습니다. 따라서 해당 부분에 대한 절차 개선을 하고 있다고 하였으며

솔리디티 언어 자체가 접근제어자가 명시되어 있지 않은경우 기본 public이기 때문에 해당 부분이 개선되어야 한다는 이야기도 있습니다.

보안이 중요한 시장인데 코드리뷰가 안된것은 매우 심각하다고 봅니다. 좋은정보들 감사합니다 고수의 향기가 물씬 나시는데요ㅎㅎ