안녕하세요, 예림파더 입니다.
전에 글 올렸던 큐바오 앱에서 큐바오를 탈취 당한 것과 관련해서 앱내 문의하기를 통해 큐바오 팀에 연락을 하였고
앱에서 지원하는 채팅 기능을 통해 확인을 할 수 있었습니다.
그런데 답변을 듣다보니 너무 실망스럽고 이해할 수 없는 부분이 몇가지 있어서...
해당 내용을 공유해 봅니다.
제가 큐바오 팀에 탈취당한 Qbt를 복구해 달라고 요청을 한 것도 아니고, 누가 범인인지 찾아 달라고 한 것도 아닙니다.
로그인, 니모닉 복구 이력과 Qbt 전송을 위한 수수료로 입금된 Qtum이 두세차례 뒤로 따라가면 십만개 이상을 관리하는 지갑에서 나왔고 2달동안 200개가 넘는 in/out 트래픽이 있으니 거래소 지갑이 아닌가해서 어느 거래소 지갑인지 확인 가능 여부 문의 하였습니다.
돌아온 답변은
- 로그인 로그 없음
- 니모닉 복구 로그는 10일만 보관함
- 탈취된 Qbt가 있는 주소는 큐바오에서 관리하는 주소가 아니다.
- 수수료로 전송된 Qtum이 있는 주소는 채굴 이력이 있다.
이런 답변이라면... 만약 큐바오 서비스에 보안 취약점이 있어 털리게 된다면
범인은 찾을 수 있는 방법이 없으며(어디 거래소로 이동시켜서 인출하기 전까진, 거래소에서 신원확인을 지원해준다는 전제하에)
누구에게 문제가 있어서 탈취되었는지 사용자는 알 방법이 없다는 것이죠.
그냥 큐바오 팀이 문제없이 알아서 잘 해 주기만을 기도해야 합니다.
사실 큐바오 자산은 전체 자산 중 1%도 안 되기에 그냥 잊어버리면 되지만 (개인적으로 돌려받는 것 보다 범인이 누구인지 찾고 싶었습니다.)
정말 좋은 서비스에 자산 상품으로 돈을 지출할 지언정 거래소 상장같은 뒷돈은 쓰지 않겠다는 올곧은 마인드로 언젠간 대성할 것이라 믿었는데
의외로 너무 허술한 것 같아 실망이 크네요.
큐바오 앱을 시작할 때 별도 보안 유틸은 구동되지 않는데
로그인 시 해당 디바이스 정보(맥, 별도 발급한 디바이스 ID 등 식별정보)를 수집하고 관리하지 않는다면
니모닉 값을 해시코드로 변환해서 사용하고 있을텐데, 해당 해쉬값이 개인 디바이스 혹은 큐바오 DB에서 유출되면 우회접근을 막을 방법이 있는지 궁금하네요.
그런 의미에서 로그인 로그를 수집하지 않는 것과 니모닉 복구 이력도 10일만 보관하는 것은 이해가 되지 않네요.
큐바오 서비스 오픈 이후로 니모닉 복구 이력 다 합쳐도 10MB도 안 넘을 텐데... 개인정보로 구분하기도 어려운 그 값을 왜 삭제하는 것인지...흠;;
저는 앞으로 큐바오 앱에 자산을 보관하기는 힘들 것 같습니다.
범인이 남겨놓은 1Qtum 거래소로 옮기고 삭제헤야 겠네요.
정말 아쉽네요. 큐바오...
참고로 사이버수사국에 의뢰도 넣었는데, 탈취당한 Qbt가 거래소로 이동하는 시점에 다시 수사하자고 하시네요~ㅎ
다들 자산 안전하게 보관 잘 하세요~ㅠ
털리니까 돈은 둘째치고 암호화폐자산을 앞으로 어디에 보관해야 할지 고민이 너무 커지네요~
금융권이나 대기업에서 은행처럼 보관 서비스 해주면 좋겠네요... 보험 다 들어 놓고.... 거래소는 불신의 아이콘이 다 되어서... 후~
(렛져 나노S도 가지고 있는데 USB가 요즘 잘 안 들어 먹네요;; 진짜 구매할 때 복구용으로 몇개씩 사놔야 하는 건지;;)
2019.04.05 10:42
2019.04.05 10:52
2019.04.05 11:41
추천:1 댓글
2019.04.05 11:43
2019.04.05 14:25
2019.04.05 11:51
추천:1 댓글
2019.04.05 13:11
2019.04.05 15:36
2019.04.05 17:43
2019.04.05 20:43
2019.04.05 20:28
2019.04.06 14:55
2019.04.06 17:48
2019.04.07 00:55