링크: https://medium.com/helloiconworld/network-update-revision-10-b0ce0bd68cbe
* 쉬운 이해 를 위한 하단 '댓글' 요약 있음
취약점 수정 및 악의적인 공격자에 대한 네트워크 방어
지난 주말 ICON 네트워크는 '다중 스테이킹 해제 요청(Multiple Unstaking Requests)' 기능의 취약점을 악용하는 악의적인 개인의 공격을 받았습니다.
우리는 무슨 일이 있었는지에 대한 사후 분석을 이 게시물을 통해 공유하고 싶습니다. 현재 상황은 완전히 통제되고 있으며, 사용자의 자금의 영향을 받지 않았습니다.
이러한 세부상항을 공유하기 전, 추가적인 공격을 막기 위해서 취약점이 고쳐질 때까지 기다려야 했습니다.
ICON 재단은 2주 전에 리비전9 제안을 제안했으며 블록 높이 22,657,896 (UTC 2020–08–13 10:02:54)에서 개정 9 업데이트를 통해 다중 스테이킹 해제 요청 기능이 활성화 되었습니다.
UTC 2020–08–22 18:00:06에 일부 커뮤니티 회원이 텔레그램 관리자에게 특정 사용자 계정의 비정상적인 활동을 경고하였습니다. 즉시 ICON 팀원들에게 전달되었고 조사가 시작되었습니다.
ICON 팀은 전담 커뮤니티 회원 및 P-Reps들의 도움과 함께 계정이 승인되지 않은 ICX 토큰을 발행하기 위해 'SetDelegate'기능을 사용하여 ICON 네트워크를 공격하고 있음을 확인했습니다. 상황의 잠재적 심각성을 인식하고, 우리는 공격자가 악용하고있는 근본적인 취약점을 조사하는 동안 우리는 모든 메인 P-Rep들을 모아 긴급 네트워크 업데이트 대기 상태로 'SetDelegate'기능을 제거하고 공격자의 계정을 블랙리스트에 했습니다.
패치가 개발되는 동안 특정 계좌를 동결하고 입출금을 비활성화하도록 거래소에 통보 했습니다. 그 후 네트워크는 업그레이드 되었고 공격자는 영구적으로 중지 되었습니다. 전체 공격, 방어 대응 및 솔루션 개발은 약 11시간 동안 이루어졌습니다.
팀은 자금과 공격자를 추적하기 위해 끊임없이 노력했습니다. 거래소 파트너, P-Rep들 및 커뮤니티 회원들의 노력 덕분에 도난당한 자금의 대부분은 회수할 수 있었고, 공격자의 신원을 확실히 알 수 있었습니다.
다음 단계 그리고, 법적 책임에 대해 우리 변호사들에 의해 검토되고 있으며, 남은 도난 자금은 모두 회수할 수 있을 것으로 확신합니다.
그러나 이 취약점을 통해 발행 된 ICX에 대응하고, 우리가 커뮤니티에게 남은 도난 자금을 모두 회수할 수 있다는 확신을 주기 위해, ICON 재단은 ICA (내부 통제 주소 / internally controlled addresses)에서 약 2천만 ICX를 소각 할 것입니다. 완료시 ICX 소각을 입증하는 트랜잭션 업데이트를 공개 할 것입니다.
문제점
UTC 2020–08–22 15:27:48에 공격자는 취약점을 발견하고 'SetDelegation' 트랜잭션 을 생성하여 25,000 ICX를 생성했습니다.
이후 UTC 2020–08–22 15:28:22에 생성이 승인되지 않은 ICX가 다른 계정으로 전송 되었습니다.
그 후, 공격자는 승인되지 않은 ICX를 생성하기 위해 위의 동작을 반복하여 수십 개의 다른 계정으로 전송했습니다.
문제의 근본적인 원인은 다중 스테이킹 해제 기간 기능의 취약점이었습니다. 일어날 가능성이 없는 특정 조건/상황에서 사용자는 'SetDelegate'기능을 사용하여 승인되지 않은 ICX를 발행 할 수있었습니다.
공격자는이 취약점을 발견하고 개인적 이득을 위해 악용했습니다.
해결책
우리는 문제의 근본적인 원인을 해결하기 위해 새로운 핫픽스(Hotfix)를 출시하고 네트워크를 '리비전 10'으로 업데이트했습니다. 취약점은 고쳐졌으며, 이 공격은 더 이상 불가능합니다.
예방
우리 팀은 테스트 기간을 연장을 위해 '리비전 9 '제안을 여러 번 연기했습니다. 그럼에도 불구하고 그것만으로 충분하지 않았습니다.
현재 향후 공격 및 취약성에 대한 최선의 예방 조치를 강구하고 있습니다. 공격 이후 48 시간이 채되지 않았으므로 내부 및 외부 프로세스를 완전히 평가하려면 더 많은 시간이 필요합니다.
예를 들어, 우리는보다 공격적인 버그 포상금이나, 제 3자 감사를 고려하고 있습니다. ICON 재단 협의회 구성원과 아이콘루프 개발 리더들은 예방 대책의 더욱 자세한 논의를 위해 이번 주에 긴급회의를 준비하고 있습니다.
우리는 아직 구체적인 예방 계획에 도달하지 않았지만, 현재 상황이 완전히 통제되고 있기에 가능한 한 빨리 이 이야기를 커뮤니티와 공유하고 싶었습니다.
감사합니다,
ICON 팀
아이콘 공식 카카오톡방 (icx 카톡방/단톡방) : https://open.kakao.com/o/gMAFhdS
아이콘 공식 '한국어' 텔레그램 채널 (아이콘 텔방): https://t.me/iconkorea
- [2024/08/28] [제안] 아이콘 네트워크, 리비전 27/28 업데이트 투표 진행 (ICON / ICX)
- [2024/06/09] 미국 지방법원, 마크 신과의 법적 분쟁에서 아이콘 재단의 손을 들어주다 (ICON / ICX 코인)
- [2022/11/14] OMM 파이낸스, 로드맵 업데이트 (2022.11)
- [2022/01/13] 밸런스드 로드맵 업데이트 (2022.01)
- [2021/06/28] 밸런스드, BALN 수수료 분배 및, 지오메트리 업데이트
- [2021/03/01] [공지] ICON 개발 로드맵 업데이트 (2021.02)
- [2020/09/01] [공지] 아이콘(ICX) 개발 로드맵 업데이트 (2020년 8월)
-요약-
- 기존 7월 아이콘개발 업데이트에 공지 된 '아이콘 개발 로드맵 업데이트 - 2020년 7월' (http://www.iconkr.com/news/36297)' 내용 중,
- 편의를 위해 기존 '단일 스테이킹 해제'을 -> '다중 스테이킹 해제 기능' 추가하는 8월 업데이트 함.
- 공격자는 이 업데이트 부분의 취약점을 찾아서, 승인되지 않은 ICX를 발행하고 수십개의 계정으로 옮김
- 2020–08–22 18:00:06 일부 커뮤니티 회원들이 특정사용자의 비정상적인 활동을 경고 -> ICON팀원들에게 바로 전달되어 조사가 시작
- 이후 공격자의 공격, 방어 대응, 솔루션 개발이 실시간으로 11시간 동안 이루어졌으며,
- 현재 취약점 문제는 패치를 통해 완벽하게 해결 되어 안정적인 상태이며, 사용자의 자금은 영향은 받지 않았음.
- 그 사이 거래소와 P-Rep들이 함께, 공격자의 계좌를 블랙리스트 처리 및 거래소 계좌를 동결 & 입출금의 비활성화를 통보/진행 함
- 도난 당한 자금의 대부분은 동결&회수 했으며, 남은 도난 자금역시 회수할 수 있음을 확신
- 공격자의 신원을 확인한 상황이며, 변호사들과 법적인 대응을 준비 중
- 커뮤니티에 도난당한 자금 2000만 ICX를 회수 할 수 있다는 확신을 주기 위해, 우선 ICON 재단의 2000만 ICX를 소각 하고, 소각한 내용을 공개 할 것
- 지금과 같은 문제를 예방하기 위해 여러가지 조치를 준비하고, 아이콘재단과 아이콘루프 개발 리더들은 예방을 위해 이번주 긴급회의를 가질 것