[KMD] 이번 Agama 지갑사태 총정리, KMD 홀더는 필독!

in #coinkorea2 years ago (edited)

안녕하세요, goldenman입니다.

지난 주, 코모도 공식 지갑인 Agama 보안취약점으로 인한 이슈가 크게 있었는데요.

몇가지 요점 정리 및 코모도 홀더분께서 뭘 어떻게 확인하고 행동해야할지를 정리해드리려고 합니다.

무엇이 문제였나?

  • agama는 오픈소스입니다. 누군가 Agama 에서 사용하는 라이브러리 모듈의 소스를 바꿔서 유저가 로그인시 입력하는 시드값을 유출시켜 탈취할 수 있게 취약점을 심었습니다.
  • 코모도팀에서는 뒤늦게 이를 발견하고 유출된 시드값들을 발견하여 해커가 이용하기 전에 먼저 화이트해킹(white-hacking; 보안을 목적으로 해킹을 시도하는 것)하여 무방비에 노출된 유저들의 자산을 보호조치하였습니다.
  • 관련기사
    코인텔레그래프
    지디넷

어떤 버전이 문제가 되었는가?

  • Agama desktop (윈도,맥,리눅스 모두)
  • Agama Mobile (안드로이드, iOS 모두)
  • Agama Web버전 (브라우저로 이용)
  • 최근 4달동안 Agama에서 직접 새로 주소를 만들었거나 기존 시드값으로 로그인을 시도한 경우 유출됨.
  • 지난 수개월간 시드값을 직접 이용한 적 없거나, 작년에 비밀번호 설정하여 비번만 쓴 경우에는 유출 안된 것으로 확인 (그래도 지갑주소 교체를 권장)

무엇을 해야하는가?

아래 1번부터 시작하시면서 YES/NO에 따라 잘 따라오세요. 중간에 애매하면 무조건 9번으로 가세요.
그럼 시작합니다.

  1. Agama 이용여부
    1.1 Desktop을 주로 이용하십니까?
    ▶ YES - Agama Desktop을 당장 삭제 후 2번으로 이동
    ▶ NO - 1.2 로 이동
    1.2 Mobile을 주로 이용하십니까?
    ▶ YES - Agama Mobile을 당장 삭제 후 2번으로 이동
    ▶ NO - Agama 유저가 아니시군요. 다행입니다. 끝.

  2. 임시로 문제없는 지갑으로 교체해주세요.
    문제가 해결된 버전의 지갑이 나올 때까지는 아래 대안지갑을 이용해주세요.
    2.1. Desktop (PC환경)을 주로 이용하시나요?
    ▶ YES - VERUS AGAMA를 다운로드/설치 후 3번으로 이동
    Verus팀에서 Agama를 포크해서 만든 지갑이면 이번 취약점과 무관합니다.
    - 윈도우용 다운로드
    - 맥OS용 다운로드
    - 리눅스용 다운로드
    2.2. 모바일을 주로 이용하시나요?
    ▶ YES - 카멜레온 지갑을 설치 후 3번으로 이동
    - 안드로이드 설치
    - 아이폰 설치

  3. 새로운 지갑주소를 만드세요. 시드값도 새로 만드는 겁니다.
    24개의 새로운 단어와 새로운 주소를 반드시 잘 백업해주세요. (잃어버리면 안되요)
    잘 만드셨다면 4번으로 이동

  4. 새로만든 지갑에서 "예전 시드"로 로그인해서 해킹여부를 확인하세요.
    코모도를 비롯한 코인들이 그대로 잘 있나요?
    ▶ YES - 5번으로 이동
    ▶ NO - 코인이 빠져나갔군요! 6번으로 이동

  5. 시드가 유출이 되지 않았지만, 안심할 수 없습니다.
    옛주소에 들어있는 코인을 3번에서 만든 새주소로 모두 옮겨주세요.
    옛주소의 시드값은 만일을 위해서 잘 보관해주세요.
    새로운 시드는 잘 보관해주시고, 나중에 새로운 해결된 Agama가 나오면 그대로 사용가능합니다.
    끝.

  6. 시드가 유출이 되어서 코인이 모두 빠져나갔군요.
    코모도팀의 안전계좌는 "RSgD2cmm3niFRu2kwwtrEHoHMywJdkbkeF" 입니다.
    안전계좌로 빠져나갔나요?
    ▶ YES - 7번으로 이동
    ▶ NO - 8번으로 이동
    ▶ 잘 모르겠음 - 9번으로 이동

  7. 코모도팀이 안전하게 잘 가지고 있습니다.
    되돌려 달라고 요청해주세요.
    아래 "반환 신청서 정보"를 참고해서 신청서를 작성해주세요. (영문주의)
    신청 시 반드시 3번에서 만든 주소로 반환신청 넣으셔야 합니다.
    신청 완료하셨나요?
    ▶ YES - 10번으로 이동
    ▶ 잘 모르겠음 - 9번으로 이동

  8. 해킹되었을 가능성이 있습니다.
    영어로 직접 코모도 팀에 물어보고 싶으신가요?
    ▶ YES - 11번으로 이동
    ▶ NO - 9번으로 이동

  9. 영어가 어렵거나 잘 모르시겠으면 저한테 문의해주세요.
    문의할 곳 - 골든맨 개인톡 : https://open.kakao.com/me/goldenman_kmd
    문의시 꼭 알려줘야 할 내용:
    ※ 본인의 기존 KMD 주소.
    ※ 3번에서 새로만든 KMD 주소.
    ※ 이 글에서 어디까지 따라오다가 막힌건지.

  10. 반환신청서를 작성하셨군요. 다음 단계로 가봅시다.
    옛 주소를 보면 원금을 꺼내간 이후 아주 소액의 코인이 들어와 있을 겁니다. (0.00023457 같이 아주 소액)
    소량의 입금 확인되시나요?
    ▶ YES - 12번으로 이동
    ▶ NO - 9번으로 이동

  11. 코모도팀에 직접 문의하고 싶은 경우
    텔레그램 그룹 : https://t.me/KomodoPlatform_Official
    Discord 채팅 : https://komodoplatform.com/discord

  12. 소량의 코인을 0.0001개 이상 또는 전액을 3번에서 만든 새 주소로 송금해주세요.
    내가 지갑의 소유자임을 증명하는 것이 목적입니다. 송금 수수료 0.0001 KMD를 제외한 수량이 갈것입니다.
    잘 보내셨나요?
    ▶ YES - 반환 프로세스가 완료되었습니다. 13번으로.
    ▶ 잘 모르겠음 - 9번으로.

  13. 소량의 송금도 마치셨습니다.
    기본적인 반환절차가 끝났습니다. 이제 3번의 주소로 코인이 들어오기를 기다려주세요.
    코모도(KMD)외 다른 코인도 확인해보세요. JUMBLR, CHIPS등 다른 코인이 더 있나요?
    (다른 코인이 더 있는지는 아래 기타정보 참고)
    ▶ YES - 4번부터 반복하세요.
    ▶ NO - 14번으로

  14. 수량이 7777개 이상인가요?
    ▶ YES - 15번으로
    ▶ NO - 16번으로

  15. 6월 15일전에 입금이 되길 기다려주세요.
    ▶ 15일까지 들어오면 - 끝.
    ▶ 15일 지나도 안들어오면 - 9번이나 11번으로

  16. 6월 30일전에 입금이 되길 기다려주세요.
    ▶ 30일까지 들어오면 - 끝.
    ▶ 30일 지나도 안들어오면 - 9번이나 11번으로


기타정보

3번에서 거래소 주소도 괜찮은가요?

  • 네, 괜찮습니다. 거래소인 경우도 12번도 반드시 해주셔야 합니다.
  • 하지만, 코모도 외 JUMBLR, CHIPS등 다른 코인은 별도의 개인 지갑이 필요합니다.

반환 신청서 정보

자세한 반환절차 영문설명글

코인별 익스플로러 (트랜잭션, 주소 조회하는 곳)

내 Agama 주소에 어떤 코인들이 들어있는지 확인하는 곳

렛져가 있으신 분은 VERUS Agama 대신 렛져를 쓰셔도 됩니다.

기타 문의

  • 9번이나 11번으로.
Sort:  

골든맨님 덕분에 지갑 들어가서 확인해보니
코모도 팀에서 가져갔더군요, 소량이 다시 들어온게 신원인증 확인 절차군요..
덕분에 해결 할 방법을 알게 되었습니다 감사합니다.

얼마전 거래소로 보냈는데...다행이군요 ㅎㅎ

어차피 소량이라 별일 없겠지만 확인해봐야겠네요 ㅠㅠ