Yves La Rose - EOS Nation, [14.05.21 08:19]
@all

We are investigating an attack on the vault. The majority of the EOS and USDT in the vault have been stolen.

❗️SX Vault attack

DO NOT DEPOSIT in vault

We will update EOSX so as to stop people from depositing further ASAP.

We'll provide a complete-post mortem as soon as we complete our investigation.

SX Vault에 문제가 발생한 것 같습니다. Vault에 EOS를 입금하지 마세요.

SX Vault 관련 현재까지 공유 된 정보 전달드립니다.

[SX Vault 코드 결함]
sx vault의 코드 결함을 이용한 플래시 론 공격으로 추정됩니다.

https://github.com/stableex/sx.vaults/blob/main/vaults.sx.cpp#L133
코드 결함은 실행 순서에 따른 로직 오류라고 하네요. 133번째 줄 코드에서 입금을 업데이트만 하고 전송하지는 않았는데, 22번째 줄 코드는 실제 토큰으로 입금액을 업데이트합니다.

[해결 방안 제안]
EOS 네이션은 flash.sx 스마트 컨트랙트에서 재진입 공격 익스플로잇을 식별한 해커에게 바운티(10만 USDT)를 제안했습니다. 해커가 1,180,142.5653 EOS 및 461,796.8968 USDT를 flash.sx 계정으로 반환하면 해커가 선택한 계정으로 바운티가 이체됩니다.

모두 잘 해결되길 바랍니다.
추가적인 정보 나오면 바로 공유드리겠습니다.

[SX Vault 관련 진행 사항 : 해커 계정 계정 동결 완료]
-BP들이 긴급 회의를 진행하였고 15/21 BP 동의로 해커의 계정이 동결(키 권한 변경) 되었습니다.

댄 : EOS의 의도는 코드의 의도가 법(the intent of code is law)이라는 것이었습니다. 저는 이더리움이 DAO 헤킹사건 때 의도를 적용한 것과 동일한 방식으로 EOS 역시 의도 계약(intent contracts)에 대한 명확한 합의를 시행하려는 노력을 전적으로 지지합니다.
+
버그 없는 코드와 소프트웨어는 존재하지 않기에 블록체인에서 구동되는 스마트 컨트랙트에도 버그가 있을 수 밖에 없기에 댄은 코드가 법(The code is law)이 아니라, 코드의 의도가 법(The intent of code is law)임을 주장했습니다.

[다음 진행 사항]
일단 해커 계정이 동결 되어 해킹 된 EOS가 덤핑 되는 것을 막았습니다.
앞으로 해킹 피해 보상 관련한 논의가 진행 될 것 같습니다.

브랜던🗣보이스

1세대 - 비트코인 : 블록체인 기술의 PoW(작업 증명) 발명. "소각 증명(proof of burn)"으로 공정한 분배

2세대 - 이더리움 : 점진적인 성능 향상

3세대 - EOS : 블록체인 기능의 최적화 된 구현

저는 1세대와 3세대에 베팅하고 있습니다.

EOS는 비트코인 및 이더리움 보다 훨씬 적은 인플레이션으로 최대 성능을 제공합니다.

초당 10,000 건의 트랜잭션, 토큰 홀더가 선택한 운영자, 주류 프로그래밍 언어로 된 스마트 계약을 위한 강력한 툴을 가지고 있습니다.

블록원은 지난 4년 동안 EOSIO 기술에 집중 해 왔습니다. 블록원은 펌핑 & 덤핑이 아닌 일의 마무리에 집중합니다.

시간은 이것이 올바른 전략임을 보여줄 것입니다.

점진적 개선으로는 충분하지 않습니다. EOS는 내일을 준비합니다.
+
EOS를 중앙 집중식 증권으로 만들지 맙시다. EOS를 기관 및 일반 사용자가 구축할 수 있는 기능적 플랫폼으로 만듭시다.

EOS는 기능을 기반으로 구축 된 유일한 고성능 친환경 퍼블릭 블록체인입니다. 주류 코딩 언어를 활용하고 강력한 툴로 지원되며 주요 기관에서 채택한 코드를 기반으로합니다.

이것이 시작입니다.

Vaults.sx funds are safe

Block producers reached consensus to uphold the intent of code.

Approximately 1.2M EOS and 462,000 USDT was stolen in a re-entry attack exploit on the flash.sx flash loan smart contract that began on May 14 at 11:28 UTC.

The vaults.sx and flash.sx smart contracts were open-source, MSIGed, and passed security audits, however the re-entry exploit was not identified.

All of the funds are safe under control of eosio.prods and will be returned to depositors.


https://eosnation.io/safe/

BP들이 해킹 자금 반환까지 결정 한 것 같습니다.
일단 마음 고생 많으셨을 분들에게 다행이라는 말씀 전하고 싶습니다.

다만 SX Vault 해킹 사건을 계기로 EOS 커뮤니티가 고민해야 할 사항들이 숙제로 남겨진 것 같습니다.

1.BP들의 이해관계에 의한 대응
이번 사건은 BP들의 발빠른 대응으로 해커 계정이 동결되며 해결되었습니다.

하지만 이전까지 개인 해킹 사건이나 이번 해킹 사건 보다 더 큰 사건 때도 BP들은 계정 동결을 진행하진 않았습니다. SX Vault는 EOS 네이션이 운영 중인 DeFi 서비스이며 해당 BP의 이해관계와 맞물려있어 빠르게 해결 된 것 같습니다.

2.일부 거래소 BP들의 무응답
BP들이 긴급한 회의를 진행하였고 15 / 21 BP 이상의 동의로 해결 되었지만 일부 거래소 BP는 회의에 참여하지 않았습니다. (너무 긴급한 회의라 참여가 불가능 했을 수 있지만 우연인지 참여 못한 BP들 대부분 거래소 BP였습니다.)

블록원이 제안한 스테이크 기반 투표 및 보상 시스템이 적용되어 BP 시스템이 개선되어야합니다.

3.해킹 사전 대비 및 사후 조치 방안 필요
DeFi 해킹 사건은 EOS 디앱 뿐만 아니라 이더리움, 바이낸스 스마트 체인 등 다양한 블록체인에서 발생하고 있습니다. 멀티시그와 보안 감사를 진행한다 하더라도 코드는 100% 완벽 할 수 없습니다. 때문에 사전 대비 방안과 사후 조치 방안이 필요합니다.

사전 대비 방안 : ProFi는 KYC 사용자만 이용 할 수 있으므로 해킹 사건이 발생 한다 하더라도 해커를 쉽게 색출 가능합니다.

사후 조치 방안 : DeFi를 위한 보험 서비스 등 일관된 메뉴얼에 의한 사후 조치 방안이 필요합니다.

4.해킹 발생 시 다른 블록체인의 대응 사례
-비트코인 : 바이낸스 해킹 사태 때 바이낸스 CEO CZ는 비트코인 *리오그를 하지 않고(할 수도 없었겠지만) 자체 안전자산펀드인 SAFU 기금을 사용해 해킹 피해를 보상했습니다. 이는 비트코인 네트워크 전체 이익을 위한 결정이었습니다.
*리오그(블록 재조정, Block Reorganization) : 특정 지점에서 새로운 거래 내역을 덧붙여 이전 블록체인 내역을 무효로 하는 작업

-이더리움 : 이더리움 DAO 해킹 사태 때 이더리움은 해킹 피해를 무효화하기 위해 블록체인 하드포크를 진행했습니다. 이로 인해 이더리움 커뮤니티는 분열되었고 아직까지 비트코인 맥시멀리스트들에게 비판을 받는 이유 중 하나입니다.

5.결론
EOS 초기에 댄은 코드는 법이 아닌 코드의 의도가 법임을 강조했습니다. (코드의 의도가 법이라면 그 의도가 일관되게 적용되었으면 합니다.) 이번 해킹 사례는 EOS가 하드포크 없이 문제를 해결 할 수 있음을 증명하는 동시에 위에서 언급한 문제들로 EOS 커뮤니티 내/외부로 부터 비판을 받게 될 수 있습니다.
+
객관적인 입장에서 글을 써보려고 노력했습니다. 이 사건을 덮어두고 같은 문제를 계속 반복하는 것보단 앞서 말한 문제들이 개선되고 EOS 커뮤니티가 분열되지 않고 더욱 견고한 커뮤니티가 되었으면 합니다.

또한 프라이빗 키를 소유한 계정에 자산을 보관하지 않고 있다면 해당 자산은 진정으로 자신의 자산이 아님을 명심해야합니다.

다시한번 마음 고생 많으셨을 분들에게 다행이란 말씀 전하고 싶습니다. 평안한 주말 보내세요.

[조던 피터슨, EdenOS 인지]
👥: 민주주의를위한 새로운 프로세스(EdenOS)가 지금 블록체인에서 해시되고 있습니다.
조던 피터슨 : 이게 뭐죠? 솔직한 질문입니다...
https://twitter.com/jordanbpeterson/status/1393411985304346625?s=21

*조던 피터슨 : 조던 피터슨은 캐나다의 임상 심리학자이자 교수, 베스트 셀러 작가로 최근 국내 뿐만 아니라 전세계에 영향력을 미치고 있는 사람입니다. 최근 조던 피터슨은 암호화폐와 비트코인에 대한 관심을 표했으며 드디어 EdenOS를 인지하게 되었네요. (조던 피터슨의 현재 트위터 팔로워는 186만명)

조던 피터슨이 첫 번째로 저술한 책인 <Maps of Meaning: The Architecture of Belief>(의미의 지도: 믿음의 구조)는 1999년 출판되었으며, 믿음과 미신 체계의 구조를 설명하기 위해 여러 학문 분야를 살펴본 책이다. 감정의 통제, 의미의 창조, 집단학살에 대한 동기부여 등에서의 믿음과 미신의 역할을 중점적으로 다루었다.

그의 두 번째 저서 12 Rules for Life: An Antidote to Chaos'(12가지 인생의 법칙:혼돈의 해독제)는 2018년 1월에 출판되었는데, 삶에 대한 간단한 도덕 원칙을 생물학, 문학, 종교, 미신, 임상 경험, 과학적 연구 등으로부터 이끌어 낸 책이다.

한편 2016년에 유튜브에 일련의 비디오를 게시하기도 하였는데, 표현의 자유의 함의에 근거한 정치적 올바름과 캐나다 정부의 Bill C-16 법안에 대한 비판이 주 내용이다. 동영상 게시 이후 상당한 미디어 매체에서 보도가 되었고 많은 지지자들이 생겨났다. 이때를 기점으로 수많은 강연들과 강의들을 하기 시작했고 현 시점에서 가장 영향력 있는 지식인 중 하나란 평도 받았다.
+
EdenOS는 현재 민주주의에 대한 거대한 실험입니다. 이 실험이 어떻게 변화를 만들지 지켜보고싶네요.

EdenOS의 첫 번째 성공적인 평가판에 대해 EOS 커뮤니티에 축하를 보냅니다. 온체인 계층 민주주의(hierarchical democracy)는 대표 거버넌스 시스템에 더 많은 포함과 투명성을 제공하기위한 새롭지만 흥미로운 탐색입니다.

Please let this letter serve as my resignation as CEO of EOS Nation effective immediately. I no longer feel as though I can do the best possible job for EOS Nation and the EOS public network and must resign my position.

I will cherish the friends I have made and hold onto the many accomplishments that are part of my history with EOS Nation. Under my leadership EOS Nation navigated the last three years, culminating in the representation of our community at the highest level within the elected block producers. But as time went by it became evident that the concentration of power in one individual went against the ethos by which blockchains are built upon. The events of May 14, 2021 and the subsequent loss of faith from some of the community can be placed firmly on my shoulders.

I am confident that EOS Nation under the helm of Daniel Keyes as CEO will continue championing decentralization and representing the EOS community.

I wish you and the EOS Nation the best in the future.

Sincerely Yours,
Yves La Rose


https://eosnation.io/thank-you/

Yves La Rose(EOS Nation CEO)가 XS Vaults 해킹 사건 관련 된 책임을 지고 EOS 커뮤니티를 떠난다고합니다. EOS 커뮤니티를 위해 많은 기여를 했다고 생각했는데 아쉽네요.

Yves La Rose : 저는 더 이상 EOS Nation과 EOS 퍼블릭 네트워크를 위해 최선을 다할 수 있을 것 같지 않고 사직해야 합니다.

제가 이끄는 EOS Nation은 지난 3년간 BP 중 최고 수준으로 EOS 커뮤니티를 대표했습니다. 하지만 시간이 흐르면서 한 개인에 대한 힘의 집중이 블록체인이 구축되는 정신에 어긋난다는 것이 분명해졌습니다. 2021년 5월 14일의 사건들과 그에 따른 커뮤니 티 일부로부터의 믿음을 잃은 것에 책임을 지겠습니다.

Daniel Keyes CEO가 이끄는 EOS Nation은 앞으로도 탈중앙화를 옹호하고 EOS 커뮤니티를 대표할 것으로 확신합니다.

앞으로도 여러분과 EOS Nation이 잘 되길 바랍니다.
+
Yves La Rose
1. 저는 EOS Nation에서 더 이상 일하지 않습니다.
2. 다음에 무엇을 할지 모르겠어요.
3. Vault에 자금을 가지고 있지 않습니다.
4. 아직 EOS를 홀딩하고 있고 DeFi 프로덕트에 있습니다.
5. EOS의 미래는 매우 밝습니다.

[SX Vault 해킹 사건과 관련된 잘못된 인식들에 대한 생각]

❗️EOS는 중앙화 되었고 BP들이 마음대로 다 할 수 있다?

최근 EOS DeFi인 XS Vault에 해킹 사건이 발생했고 BP들의 합의를 통해 해커 계정을 동결하고 해킹 자금을 피해자들에게 반환해주었습니다.

이 사건의 해결 과정을 보고 'EOS는 BP들이 모든 것을 마음대로 할 수 있다. BP들이 마음만 먹으면 내 계정과 자산에 접근할 수 있다.' 그러므로 EOS는 중앙화 되었다고 주장하는 사람들이 있습니다.

간단한 게임 이론의 이해도 없이 이와 같이 1차원적으로 생각한다면, 비트코인과 이더리움 역시 마이닝 풀 51%가 마음만 먹으면 네트워크를 마음대로 조종할 수 있습니다.

비트코인과 이더리움은 마이닝 풀 3~4개가 51% 이상의 해쉬 파워를 가지고 있으므로 15 / 21 BP 동의가 필요한 EOS 보다 훨씬 중앙화 되었다고 볼 수 있습니다. 또한 네트워크 규모가 같은 경우 DPoS 보다 더 적은 비용으로 Pow를 공격할 수 있습니다.

그럼에도 비트코인, 이더리움 마이닝 풀이 네트워크를 공격하지 않는 이유는 결국 이익 때문입니다. 채굴자들은 굳이 네트워크에 피해를 줄 이유가 없습니다. EOS BP 역시 마찬가지입니다.

그리고 비트코인, 이더리움 마이닝 풀은 네트워크 수수료가 높아질수록 돈을 더 많이 벌기 때문에 채굴자, 네트워크, 홀더들과 이해관계가 일치하지 않으며 홀더들은 마이닝 풀을 견제할 수 있는 수단이 없습니다. 반면 EOS 홀더는 최소한 BP들을 견제할 수 있는 투표라는 수단이 있으며 수수료 측면에서 네트워크와 홀더들의 이해관계가 일치합니다

❗️이더리움 : DAO 해킹 사건 vs EOS : Sx Vault 해킹 사건

블록체인의 핵심은 커뮤니티이며 하드 포크는 커뮤니티를 분열시키는 악수(惡手) 일뿐입니다.

이더리움은 2016년 DAO 해킹 사건이 터지면서 하드 포크를 진행합니다. 결국 이더리움과 이더리움 클래식으로 커뮤니티가 분열되었습니다. 만약 특정 블록체인이 문제가 생길 때마다 하드 포크를 한다면 커뮤니티는 계속 분열되고 힘을 잃을 수밖에 없습니다.

반면 EOS는 하드포크 없이, 즉 커뮤니티 분열 없이 문제를 해결할 수 있다는 장점을 메인넷 초기부터 내세웠고, XS Vault 해킹 사건으로 이를 실제로 증명했습니다.

❗️The intend of code is law + 공정(公正)

인간은 완벽하지 않으며 그런 인간이 작성한 코드와 프로그램 역시 완벽할 수 없습니다. 버그 없는 코드와 소프트웨어는 존재하지 않기에 블록체인에서 구동되는 스마트 컨트랙트에도 버그가 있을 수 밖에 없습니다. 이러한 이유로 EOS 메인넷은 코드가 법(The code is law)이 아닌, 코드의 의도가 법(The intent of code is law)임을 강조합니다.

이번 SX Vault 해킹 사례는 EOS의 The intent of code is law를 보여주는 훌륭한 선례입니다.

다만 중요한 것은 그 의도가 누구에게나 공정하게 적용되어야 합니다.

—————
혹시 위 글에서 놓친 부분이나 잘못된 부분이 있다면 @creamer7 으로 말씀해주세요.
*글 공유시 출처 링크(https://t.me/creamer_news) 남겨주세요.

[Dexaran : SX Vault 해킹 사건 관련]
https://www.eosgo.io/news/vaultsx-hack-lessnos-learned-and-thoughts

- EOS Nation의 미흡한 대처 : 너무 적은 바운티, 미흡한 협상 프로세스 등

- 계층화 보안 대응책 필요 : 자동 이상 탐지 시스템, 스마트 계약 보험

- 사용자 당부 사항 : 어떤 경우에도 스마트 계약이 개인 계정보다 안전하지 않다는 점을 유념해 주십시오. 만약 스마트 계약에 자금을 보관한다면, 보안성은 개발자에 대한 신뢰에 지나지 않습니다.

개인 계정에서 발생 할 수 없지만 스마트 계약에서는 발생할 수 있는 수많은 시나리오가 있습니다.
-개발자는 스마트 계약 작성 또는 업데이트 시 해커가 이용할 수 있는 코드 오류를 범할 수 있습니다.
-인적 요인도 중요합니다. 프라이빗 키를 도난당할 수 있습니다. 스마트 계약 소유자가 뇌물을 받을 수도 있습니다.

*Dexaran : 이더리움 초기부터 개발자로 활동하며 다양한 컨트랙트 오딧을 진행 + EOS,트론,이클,ADA, CLO, UBQ, EXP 등 다양한 플랫폼을 연구 후 현재 EOS 커뮤니티에서 활동 중

기술스택 비교

https://ko.everipedia.org/blog/ebeuripidiayi-saeroun-bijeon-iq-v2-rodeumeb-oncein-jisigyi-mirae

2018년도에 EOS를 기반으로 첫 번째 프로젝트를 구축하고 EOS 메인넷에서 가장 성장한 토큰인 에브리피디아는 향후의 유동성을 위해서 Block.one이 Bullish.com을 통해 출시하는 최첨단 ProFi 제품을 활용할 예정입니다. IQ토큰의 유동성을 더욱 높이기위해 IQ토큰에 대한 신용카드 지원과 전세계의 법정화폐 게이트웨이를 포함하는 주요 중앙화거래소에 상장될 예정입니다.

이렇게되면 IQ토큰을 보유하거나 IQ 생태계에 참여하기가 그 어느때보다 쉬워질겁니다.

EOS/IQ

2018년도에 EOS를 기반으로 첫 번째 프로젝트를 구축하고 EOS 메인넷에서 가장 성장한 토큰인 에브리피디아는 향후의 유동성을 위해서 Block.one이 Bullish.com을 통해 출시하는 최첨단 ProFi 제품을 활용할 예정입니다. IQ토큰은 EdenOS + EOS 메인넷 커뮤니티와 완전히 통합되어 EOS 메인넷과 더욱 통합된 경험을 만들 것입니다. IQ토큰이 체인 간 이동이 가능하게 됨에 따라 IQ Bridge는 EOS와 이더리움(Ethereum) 생태계를 연결합니다. 이로 인해 두 생태계에 더 큰 유동성을 가져다줄 것이며, 에브리피디아는 EOS에서 실행되는 에브리피디아 백과사전을 계속 구축해 나아갈 것입니다. 프레딕트 V2(PredIQt V2)의 경우, 이더리움 layer 2와 두 체인을 연결하는 EOS 에서 모두 실행되는 크로스 체인이 될 것입니다.

reddit.com/r/eos/comments/ne4tbd/my_apology

Sx Vault 해커가 사과문 올렸네요.
DeFi 해킹 관련해서 해커가 사과문을 올리는 사례는 처음 보는거 같습니다.

앞으로도 BP들이 공정하게 대처만 잘 해준다면 코드의 의도가 법인 EOS에서는 DeFi 해킹 피해 사례가 나오지 않을것 같습니다.

[초기 토큰 분포의 중요성]
Ryan Watkins(MessariCrypto 리서처): 토큰 분포는 블록체인의 힘의 분배를 결정하는 데 매우 중요합니다. 내부자들에게 토큰이 집중되면 프로젝트의 신뢰할 수 있는 중립적인 퍼블릭 인프라 구축 능력을 영구적으로 손상시킬 수 있습니다. 과두정치는 우리가 파괴해야 할 시스템입니다.

블록체인은 근본적으로 새로운 경제 시스템을 촉진합니다. 가장 신뢰할 수 있는 블록체인이 가장 많이 채택될 가능성이 높습니다. 신뢰는 자본을 끌어당깁니다.

이는 특히 PoS(지분 증명) 블록체인에 해당될 수 있습니다. 일단 사용자가 코인을 획득하여 PoS 시스템에 스테이크하면, 그들은 네트워크의 향후 모든 발행에 비례하는 권리를 갖게 됩니다. 대부분의 PoS 시스템은 스테이커에게 신규 발행 토큰뿐만 아니라 네트워크 수수료와 투표권을 제공합니다.

새로운 경제 시스템을 처음부터 만들어 냈다고 상상해보십시오. 어떻게 디자인 하시겠습니까?
https://twitter.com/RyanWatkins_/status/1394283802009145348?s=20
+
초기 토큰 분배 측면에서 가장 탈중앙화된 블록체인은 EOS. 내부자 물량(블록원 보유 10%) 지급도 커뮤니티가 결정.

[블록원, EOS 보유량 및 사용 현황]
+
이더리움은 출시 전 재단이 프리마이닝(사전 채굴) 진행하여 자금 조달