[공식 답변입니다]
리포팅된 이슈는 hackerOne Bug Bounty Program을 통해서 이미 파악하고 있는 내용입니다.
RadioStation과 pickle 라이브러리는 P-rep 선출 전에 제거 될 예정입니다.
SCORE sandbox도 현재 철저한 audit을 통해서, 악성 코드를 걸러내고 있습니다.
또한, sandbox를 구현하는 것도 로드맵에 포함되어 있습니다.
참고로, 리포팅된 사항은 현재 Peer나 RadioStation이 해킹된 이후에 가능한 시나리오 들이며,
현재 아이콘 재단에서 운영하는 Peer나 RadioStation의 보안에는 큰 이슈가 없습니다.
추가문의
Q. 테스트버전에는 문제가 되지만, 운영중인 ICON 에서는 보안에 문제가 없다는 것인가요?
A. 현재 P-Rep이 선출되지 않은 상태이기 때문에 선출되기 이전인 현재에서는 문제가 없습니다.
Q. pickle를 제거하면 속도가 느려지는 문제가 생긴다는데.. 속도가 느려지는 것은 아닌가요?
A. Pickle의 경우 전체에서 작은 영역에 속하며 만약 해당 이슈로 속도의 감소가 발견된다면 속도가 떨어지지 않도록 대응이 이뤄지게 될 예정입니다.
PS. 아이콘팀에서는 adevt팀이 현재 진행되는 해커스원 바운티 프로그램에 들어오길 원하고 있으며, adevt팀을 알게 되어 직접 ICON과 소통하실 수 있도록 소개 해 드렸으며,
두 팀 모두 서로서로 좋은 방향으로 잘 진행되었으면 합니다.
PS2. 이슈가 되었던 리포트
http://www.iconkr.com/news/3202
PS3. 현재 해커원 버그 바운티 프로그램은 해커원 내 프라이빗(비공개)로 우선 이루어지는 중입니다.
비공개로 어느정도 진행 된 이후 공개로 진행된다고 해요.
PS4. 어뎁트(adevt)팀은 현재 해커원 바운티 프로그램에 초청을 받아서 정식적으로 아이콘 바운티 프로그램에 참여하게 되었다고 합니다. (19-01-23)
- [2019/03/08] ICON 재단 – 버그 바운티 프로그램 퍼블릭 전환
- [2019/01/25] 아이콘 네트워크, 보안환경 관련 현황 업데이트
- [2019/01/22] 국내 블록체인 프로젝트 분석 보고서 Part 1 — ICON Project
- [2019/01/02] 아이콘 x 해커원, 버그 바운티 프로그램 진행
1. 아이콘은 22개 노드(서버)로 구성되는데, 올해 9월 이 22개의 노드를 선거를 통해서 뽑게 됨.
2. 취약점 발견! 취약점은 선거로 뽑히게 되는 노드가 내부적으로 나쁜 마음을 먹고 직접 해킹하게 되면 문제가 되는 취약점.
3. 아이콘: 화이트 해커들을 통한 버그바운티 프로그램이 진행되고 있으며, 이를 통해 알게된 부분으로, 선거(9월)가 시작되기 전 문제가 되는 부분을 삭제및 해결 할 것.
https://medium.com/adevt/국내-블록체인-프로젝트-분석-보고서-part-1-icon-project-ffd5122fbcd0