회사 웹사이트 홍보하는 채널
[간단 블록체인 퀴즈] 비트코인은 UTXO 모델 기반이라 output에 내가 적지 않은 주소가 생겨요 그걸 일반적으로 change address라고 하는데 의도한 전송을 제외한 나머지가 발생하는 주소라고 보면 될 것 같아요 여기서 퀴즈 이미지에 보이는 주소 중 어떤 주소가 의도한 전송일까요? 1. 위에 있는 주소인 35fhh4BcKavEqxoSLgxE1aGZRLXKHuQVQN 2. 큰 돈을 보낸 주소인 bc1qm9dpm35mmfy2gnuvlx3…
첫 답변으로 완벽한 해설이 나와서 조금 당황했는데요...
좀 더 기술적인 아는 척을 해보자면
비트코인 지갑에서 change address를 만들 때는 동일한 derivation path를 사용해서 만들기 때문에 주소의 형식이 같습니다!
따라서 주소의 형식이 같은 [2]가 change, [1]이 의도한 전송이 된답니다
그리고 추가적인 답변으로 나온 '소액이라서', '깔끔한 숫자라서'와 같은 것도 인과관계를 가지진 않지만 어느 정도 상관관계가 있기에 해석에 참고하는 경우가 많답니다!
레전드 답변을 주신 Miles님 정말 축하드립니다!!
좀 더 기술적인 아는 척을 해보자면
비트코인 지갑에서 change address를 만들 때는 동일한 derivation path를 사용해서 만들기 때문에 주소의 형식이 같습니다!
따라서 주소의 형식이 같은 [2]가 change, [1]이 의도한 전송이 된답니다
그리고 추가적인 답변으로 나온 '소액이라서', '깔끔한 숫자라서'와 같은 것도 인과관계를 가지진 않지만 어느 정도 상관관계가 있기에 해석에 참고하는 경우가 많답니다!
레전드 답변을 주신 Miles님 정말 축하드립니다!!
❤1
Forwarded from Four Pillars Research (KR)
: : [이슈] SEAL Certificates: 실수 없는 웹3 만들기
작성자: 캘빈
- 운영 보안은 웹3의 가장 큰 취약점으로 부상했다. 2024년 발생한 보안 사고 중 권한 탈취 등 운영 보안 문제로 인한 해킹 피해액이 스마트 컨트랙트 취약점으로 인한 사고보다 3배 이상 컸으며, DNS 하이재킹, 멀티시그 관리 부실, 직원 기기 해킹 등 웹2 수준의 보안 문제가 대형 사고의 주요 원인이 되고 있다.
- SEAL 인증(Certificates)은 웹3 프로젝트의 운영 보안을 표준화된 방식으로 인증하는 최초의 시스템이다. DNS/레지스트리 보안, 작업 환경 보안, 멀티시그 운영, 자금 관리, 사고 대응 계획 등 여러 운영 보안 도메인을 평가하여, 그동안 스마트 컨트랙트 감사만으로는 파악할 수 없었던 프로젝트의 실제 운영 안전성을 검증한다.
- SEAL 인증은 기관 투자자 진입을 위한 핵심 인프라로 자리잡을 가능성이 있다. 이더리움의 1조 달러 보안(1TS) 이니셔티브 실현, 온체인 보험료 산정 기준, 거래소 상장 심사 요건 등으로 활용되면서, 인증 보유 프로젝트와 미보유 프로젝트 간 명확한 시장 프리미엄이 형성될 것으로 예상된다.
📱 이슈 아티클 전문 (포스트)
🌎 이슈 아티클 전문 (웹사이트)
FP Website | Telegram (EN / KR) | X (EN / KR)
작성자: 캘빈
- 운영 보안은 웹3의 가장 큰 취약점으로 부상했다. 2024년 발생한 보안 사고 중 권한 탈취 등 운영 보안 문제로 인한 해킹 피해액이 스마트 컨트랙트 취약점으로 인한 사고보다 3배 이상 컸으며, DNS 하이재킹, 멀티시그 관리 부실, 직원 기기 해킹 등 웹2 수준의 보안 문제가 대형 사고의 주요 원인이 되고 있다.
- SEAL 인증(Certificates)은 웹3 프로젝트의 운영 보안을 표준화된 방식으로 인증하는 최초의 시스템이다. DNS/레지스트리 보안, 작업 환경 보안, 멀티시그 운영, 자금 관리, 사고 대응 계획 등 여러 운영 보안 도메인을 평가하여, 그동안 스마트 컨트랙트 감사만으로는 파악할 수 없었던 프로젝트의 실제 운영 안전성을 검증한다.
- SEAL 인증은 기관 투자자 진입을 위한 핵심 인프라로 자리잡을 가능성이 있다. 이더리움의 1조 달러 보안(1TS) 이니셔티브 실현, 온체인 보험료 산정 기준, 거래소 상장 심사 요건 등으로 활용되면서, 인증 보유 프로젝트와 미보유 프로젝트 간 명확한 시장 프리미엄이 형성될 것으로 예상된다.
FP Website | Telegram (EN / KR) | X (EN / KR)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
[거래소 지갑 구조 - 코인 토막상식]
바이낸스나 업비트에 입금을 할 때 뜨는 입금 주소는 나의 주소가 아니다?
요즘에는 핫월렛이 어떻고... 입금용 주소가 어떻고...와 같이 해당 구조에 대한 인지가 너무나도 보편화되어있긴 하지만 성문(成文)화 되어있지는 않다고 판단이 되어 간단하게 정리를 해보려고 합니다!
외국 CT를 보다보면
라는 문구를 한 번씩 볼 수 있을텐데요, 저희가 입금하는 거래소 입금 주소는 당연하게도 pk를 거래소가 소유하고 있는 거래소 소유 주소입니다
거래소 지갑의 위상을 나누어 보면
정도로 이야기를 할 수 있을 것 같습니다
즉, 거래소에 입금하는 순간부터는 해당 금액에 대한 통제권은 오로지 거래소에게 있는 것이기에 이상한 거래소에는 돈을 넣지 말라는 이야기를 하는 것이라고 인지하면 될 것 같습니다
그러면 거래소간 입출금은 어떻게 진행이 되느냐?
의 과정으로 보면 된답니다
바이낸스나 업비트에 입금을 할 때 뜨는 입금 주소는 나의 주소가 아니다?
요즘에는 핫월렛이 어떻고... 입금용 주소가 어떻고...와 같이 해당 구조에 대한 인지가 너무나도 보편화되어있긴 하지만 성문(成文)화 되어있지는 않다고 판단이 되어 간단하게 정리를 해보려고 합니다!
외국 CT를 보다보면
Not your keys, not your coins
라는 문구를 한 번씩 볼 수 있을텐데요, 저희가 입금하는 거래소 입금 주소는 당연하게도 pk를 거래소가 소유하고 있는 거래소 소유 주소입니다
거래소 지갑의 위상을 나누어 보면
Cold Wallet: 자금 보관을 목적으로 운용하는 지갑
물리적 Cold Wallet을 지칭하는 것이 아닌 트랜잭션의 패턴을 바탕으로 분류
Hot Wallet: 입출금을 목적으로 운용하는 지갑
물리적 Hot Wallet을 지칭하는 것이 아닌 트랜잭션의 패턴을 바탕으로 분류
Deposit Wallet: 고객 입금용 지갑
해당 지갑에 대한 pk는 거래소가 소유
정도로 이야기를 할 수 있을 것 같습니다
즉, 거래소에 입금하는 순간부터는 해당 금액에 대한 통제권은 오로지 거래소에게 있는 것이기에 이상한 거래소에는 돈을 넣지 말라는 이야기를 하는 것이라고 인지하면 될 것 같습니다
그러면 거래소간 입출금은 어떻게 진행이 되느냐?
1) 거래소 A에서 거래소 B에 있는 입금 주소로 출금 요청을 하면
2) 거래소 A는 출금을 요청한 사람이 충분한 돈을 가지고 있는지 판단하고
3) 적합한 경우, 거래소 A의 Hot Wallet에서 거래소 B의 입금 주소로 입금을 해줌
의 과정으로 보면 된답니다
❤16
업비트가 해킹당했다는 찌라시가 있어서....
결론부터 요약하면 '아닐 가능성 훨씬 높습니다'
너무나도 단순한 패턴이기에 '해킹'보단 '정렬의 과정'으로 보는 것이 더 합리적일 것 같습니다
저렇게 단순 전송이 되려면 pk가 털려야하는데 pk를 어떻게 털어낸 용감하고 똑똑한 사람이라면 저렇게 신원을 특정할만한 트랜잭션을 만들지도 않을 것 같기 때문...이라고 덧붙일 수 있을 것 같습니다
결론부터 요약하면 '아닐 가능성 훨씬 높습니다'
1) 업비트 핫월렛 3개가 하나의 지갑으로 한 번에 모이고
2) 각각의 자금이 약 15 SOL씩 나눠져
3) 하나의 바이낸스 Deposit으로 모이는
너무나도 단순한 패턴이기에 '해킹'보단 '정렬의 과정'으로 보는 것이 더 합리적일 것 같습니다
저렇게 단순 전송이 되려면 pk가 털려야하는데 pk를 어떻게 털어낸 용감하고 똑똑한 사람이라면 저렇게 신원을 특정할만한 트랜잭션을 만들지도 않을 것 같기 때문...이라고 덧붙일 수 있을 것 같습니다
👎10❤5💩4👍1
그 와중에 재밌는 것은 정말로 가내수공업 마냥 한땀한땀 트랜잭션을 찍고 있다는 것입니다...ㅋㅋㅋㅋ
아마 월렛 시스템 구성 요소 점검이라는 목적으로 진행되는거다보니 사람이 직접 검수해서 보내야한다...하는 뭐 그런 지시?가 있었지 않을까 생각도 드네요ㅋㅋㅋㅋ
아마 월렛 시스템 구성 요소 점검이라는 목적으로 진행되는거다보니 사람이 직접 검수해서 보내야한다...하는 뭐 그런 지시?가 있었지 않을까 생각도 드네요ㅋㅋㅋㅋ
❤2💩2
Forwarded from ㈜ 청년열정마라두바이쫀득민트초코손맛푸드
업비트는 2025-11-27 04:42 경 Solana 네트워크 계열 자산 일부(약 540억 원 상당)가 내부에서 지정하지 않은 지갑 주소(알 수 없는 외부 지갑)로 전송된 정황을 확인했습니다.
(해킹 맞음)
해킹파악 이후 후속조치는 잘 했다고 합니다
❤2
약간의 변명을 해보자면...
업비트는 오늘로부터 딱 6년 전 이더리움을 털리고 나서 지갑을 관리하는 방식을 조금 수정하였습니다
방식을 사용하였는데요 이번에 '해킹'이라고 판단하기엔
를 바탕으로 위와 유사하며 해킹이라고 보기엔 부족함이 많다고 생각했습니다
물론 해킹이 아니라고 보기에도 근거는 부족했긴하지만 지갑을 나누는 방식에서 '관리'에 가깝다는 해석을 하게 되었던 것 같습니다
+ 사견을 좀 더하자면.... 해당 해킹은 결국 '지갑 관리 체계'가 털렸다고 보는게 맞는 것 같은데 관련되어서 '어떤 방식으로' 털리게 되었는지가 매우 궁금해지네요
업비트는 오늘로부터 딱 6년 전 이더리움을 털리고 나서 지갑을 관리하는 방식을 조금 수정하였습니다
1. 지갑을 쪼개고
2. 적당한 기간동안 사용하고
3. 새로운 지갑으로 옮기기 위해 하나의 지갑(이미지의 S8 Upbit Hot Wallet 1)으로 옮기고
4. 다시 퍼뜨리는
방식을 사용하였는데요 이번에 '해킹'이라고 판단하기엔
1. Deposit에서의 출금도 존재했고(그럴거면 관리하는 시스템 자체가 털린거니 그럴 가능성이 높지 않을 것으로 판단하였음)
2. 하나의 주소로 모이기도 했고
3. 다시 퍼뜨리는 행위
를 바탕으로 위와 유사하며 해킹이라고 보기엔 부족함이 많다고 생각했습니다
물론 해킹이 아니라고 보기에도 근거는 부족했긴하지만 지갑을 나누는 방식에서 '관리'에 가깝다는 해석을 하게 되었던 것 같습니다
+ 사견을 좀 더하자면.... 해당 해킹은 결국 '지갑 관리 체계'가 털렸다고 보는게 맞는 것 같은데 관련되어서 '어떤 방식으로' 털리게 되었는지가 매우 궁금해지네요
❤7💩5
거래소 지갑 구조2 - 코인 토막상식
업비트는 이번 해킹으로 지갑을 전반적으로 손을 보고 있더라구요! (아마도) 알면 도움이 될 토막 상식!
업비트는 이더리움 핫월렛을 리뉴얼하면 지금까지는
방식을 사용해왔답니다!
(이미지를 참조하면 이해가 좀 더 쉬울거에요)
지갑을 이미 마킹하고 있는 사람이라면 다들 알고 있었겠지만 이런 패턴을 알면 좀 더 편하게 마킹을 할 수 있다는 사실!
업비트는 이번 해킹으로 지갑을 전반적으로 손을 보고 있더라구요! (아마도) 알면 도움이 될 토막 상식!
업비트는 이더리움 핫월렛을 리뉴얼하면 지금까지는
1) 하나의 지갑에 옮기고
2) 여러 개로 같은 금액을 분산하는
방식을 사용해왔답니다!
(이미지를 참조하면 이해가 좀 더 쉬울거에요)
지갑을 이미 마킹하고 있는 사람이라면 다들 알고 있었겠지만 이런 패턴을 알면 좀 더 편하게 마킹을 할 수 있다는 사실!
❤7
극악무도하다고 생각하던 라자루스 해커들의 모습이라고 합니다
생각해보면 당연한 것 같긴한데 평범하긴하네요
북한 해커들은 좋은 대접을 받아서 그런가 안색이 좋아보이기도 하구요
해당 사진은 위장 취업을 시도하는 북한 해커들을 역으로 낚아 인터뷰를 진행하며 구했다고 합니다
자세한 내용은 여기에서 볼 수 있답니다
생각해보면 당연한 것 같긴한데 평범하긴하네요
북한 해커들은 좋은 대접을 받아서 그런가 안색이 좋아보이기도 하구요
해당 사진은 위장 취업을 시도하는 북한 해커들을 역으로 낚아 인터뷰를 진행하며 구했다고 합니다
자세한 내용은 여기에서 볼 수 있답니다
회사 웹사이트 홍보하는 채널
극악무도하다고 생각하던 라자루스 해커들의 모습이라고 합니다 생각해보면 당연한 것 같긴한데 평범하긴하네요 북한 해커들은 좋은 대접을 받아서 그런가 안색이 좋아보이기도 하구요 해당 사진은 위장 취업을 시도하는 북한 해커들을 역으로 낚아 인터뷰를 진행하며 구했다고 합니다 자세한 내용은 여기에서 볼 수 있답니다
아 좀 이국적으로 보이는 얼굴은 딥페이크일거에요
이런 사례들이 급증한다는 이야기도 있었고 북한에서 활용도 좀 한다고 들었어요
이런 사례들이 급증한다는 이야기도 있었고 북한에서 활용도 좀 한다고 들었어요
Forwarded from Mutt Technologies (Mutt)
- 리본 파이낸스 해킹은 전체 예치금의 32% 손실
- 하지만 19% 손실로 평가하는 것을 제안한다
- 모자란 13%p는? 내가 보니 몇년동안 잠수탄 계정들 있어서 얘네가 독박 써줄거 같음 ㅋ
놀랍게도 공식적 제안
https://x.com/ribbonfinance/status/2000003294563905765
- 하지만 19% 손실로 평가하는 것을 제안한다
- 모자란 13%p는? 내가 보니 몇년동안 잠수탄 계정들 있어서 얘네가 독박 써줄거 같음 ㅋ
놀랍게도 공식적 제안
https://x.com/ribbonfinance/status/2000003294563905765
Forwarded from 캘빈의 감금원
Mutt Technologies
- 리본 파이낸스 해킹은 전체 예치금의 32% 손실 - 하지만 19% 손실로 평가하는 것을 제안한다 - 모자란 13%p는? 내가 보니 몇년동안 잠수탄 계정들 있어서 얘네가 독박 써줄거 같음 ㅋ 놀랍게도 공식적 제안 https://x.com/ribbonfinance/status/2000003294563905765
기존 트윗은 지워지고, 이에 대한 새로운 트윗이 올라왔네요.
기존 트윗 아카이브: https://tweet-archives-cdn.web3isgoinggreat.com/2025-12-12-0/1/screenshot.webp
새 트윗을 정리하면 아래와 같습니다.
흠..
https://x.com/ribbonfinance/status/2000988413072138427?s=20
기존 트윗 아카이브: https://tweet-archives-cdn.web3isgoinggreat.com/2025-12-12-0/1/screenshot.webp
새 트윗을 정리하면 아래와 같습니다.
- 기존의 손실평가 방식은 근본적으로 잘못되었음
- 공격 발생 시점 이전에 출금을 신청해 대기중인 자금은 finalize 이후 100% 회수 가능함
- 볼트 전략에 안넣고 대기중인 유휴자금(paused fund)도 컨트랙트 업데이트되면 전액 출금 가능
- 그러나 공격 이전에 출금 대기열에 넣지 않았거나, 볼트에서 운용중이었던 자금은 완전히 손실됨
- 완전한 손실에 대한 보상 이니셔티브는 거버넌스를 통해 제안주기를 바람. 향후 방향에 대해 협력하겠음
흠..
https://x.com/ribbonfinance/status/2000988413072138427?s=20
❤2