최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- Libbitcoin Explorer의 난수 생성기 결함으로 인해 12만 개 이상의 Bitcoin 개인 키가 노출되었으며, 이는 여러 지갑 플랫폼에 영향을 미쳤습니다.
- 메르센 트위스터-32 알고리즘과 관련된 이 취약점은 공격자가 지갑 시드를 예측하고 개인 키를 재구성할 수 있도록 허용했습니다.
- OneKey는 자사 지갑이 국제 암호화 표준을 충족하는 인증된 진정한 난수 생성기(True Random Number Generator)를 사용하여 안전하게 유지되고 있음을 확인했습니다.
널리 사용되는 오픈소스 Bitcoin 라이브러리에서 새롭게 발견된 취약점으로 인해 12만 개 이상의 개인 키가 노출되었다고 암호화폐 지갑 제공업체인 원키(OneKey)가 보고했습니다.
해당 결함은 Libbitcoin Explorer(bx) 3.x 시리즈에서 trac되었으며, 이 버전은 공격자가 안전하지 않은 난수 생성 방식을 통해 생성된 지갑 개인 키를 예측할 수 있도록 허용했습니다.
OneKey의 분석에 따르면 게시된 금요일 늦게 X에bitcoinBitcoinBitcoin BitcoinBitcoinBitcoinBitcoin BitcoinBitcoin . 이 소프트웨어는 시스템 시간만을 사용하여 난수를 생성하는 Mersenne Twister-32 의사 난수 생성기(PRNG)를 사용합니다.
시드 공간은 2³²개의 가능한 값으로 제한되어 있어 해커들이 난수를 쉽게 예측하고 무차별 대입 공격으로 지갑 개인 키를 탈취할 수 있었습니다. 지갑 생성 시점을 아는 사람은 누구나 동일한 난수 시퀀스를 재구성하여 개인 키를 알아내고 해당 주소의 자금에 접근할 수 있었습니다.
OneKey의 영향을 받은 지갑 규모 분석
암호화폐 지갑 서비스 제공업체에 따르면, 이 문제는 Libbitcoin Explorer 또는 그dent 구성 요소를 통합한 여러 지갑 구현에 영향을 미치는 것으로 확인되었으며, 여기에는 Trust Wallet Extension 버전 0.0.172부터 0.0.183까지, 그리고 패치된 3.1.1 릴리스를 제외한 Trust Wallet Core 버전 3.1.1까지의 버전이 포함됩니다.
분석을 인용하여 보안 연구원들의 보안 결함이 데서 비롯되었다고 의사난수 생성기(PRNG)가 예측 가능한 엔트로피에 의존하는dent개인 키를 복제할 수 있었습니다.
메르센 트위스터-32 알고리즘의 작은 시드 공간과 예측 가능한 특성으로 인해 악의적인 공격자가 프로세스를 자동화하고 여러 지갑을 해킹하는 것이 가능해졌습니다.
OneKey는 해당 결함이 "Milk Sad" 사건과 같이 이전에dent했던 원인 불명의 자금 손실 사건에 영향을 미쳤을 수 있다고 설명했습니다. 당시 피해자들은 보안을 위해 에어갭 시스템을 사용했음에도 불구하고 지갑 잔액이 모두 사라진 것을 확인했다고 보고했습니다.
'밀크 새드' 연결은 OneKey 지갑에 영향을 미치지 않았습니다
올해 초 시작된 Milk Sad 조사에 따르면 피해자들은 외부와 단절된 리눅스 노트북에서 Libbitcoin Explorer의 명령어를 사용하여 지갑을 생성한 것으로 드러났습니다. 각 사례에서 사용자들은 bx라는 도구가 충분한 무작위성을 제공한다고 믿고 24단어 BIP39 니모닉 구문을 생성했습니다.
지갑 생성 과정에서 사용된 명령어 시퀀스 중 하나는 `bx seed -b 256 | bx mnemonic-new`였습니다. 이 명령어는 256비트의 엔트로피를 생성했고, 이를 24단어로 된 니모닉 구문으로 변환했습니다. 하지만 결함이 있는 난수 생성기 때문에 안전하다고 여겨졌던 이 니모닉은 사실상 예측 가능했습니다.
밀크새드 사건 피해자들이 지갑을 만든 시기는 수년이 지났지만, 조사 결과 각자가 동일한 버전의 Libbitcoin 탐색기를 사용했으며, 이로 인해 취약한 개인 키가 생성되었다는 사실이 밝혀졌습니다.
원키는 보고서에서 의 취약점이bitcoin 익스플로러 않는다고 의 니모닉 키나 개인 키 보안을 손상시키지 . 회사 조사 결과, 자사 기기와 소프트웨어는 국제 보안 표준을 충족하는 암호학적으로 안전한 난수 생성기(RNG)를 사용하는 것으로 확인되었습니다.
"모든 차세대 하드웨어 지갑에는 키 생성을 위한 내장형 진정한 난수 생성기(TRNG)가 포함된 보안 요소(SE)가 있습니다. 이러한 구성 요소는 하드웨어 기반이며 전 세계적으로 인정받는 보안 수준인 EAL6+ 인증을 보유하고 있습니다."라고 하드웨어 및 콜드 월렛 회사가 확인했습니다.
소프트웨어 지갑 취약점 평가
OneKey는 또한 자사 소프트웨어 제품에 대한 평가를 실시하여 데스크톱 및 브라우저 확장 프로그램 버전이 Chromium 기반 WebAssembly(WASM) PRNG 인터페이스를 사용한다는 점을 확인했습니다.
인터페이스 운영 체제는 암호학적으로 안전한 의사 난수 생성기(CSPRNG)를 엔트로피 소스로 사용하는데, 이는 최신 브라우저 및 보안 소프트웨어 시스템에서 사용되는 것과 동일한 표준입니다.
OneKey는 자사의 안드로이드 및 iOS 지갑에 운영체제 자체에 내장된 시스템 수준의 CSPRNG API가 있다고 밝혔습니다. 지갑 서비스의 보안팀은 지갑 생성의 난수성 품질은 기기와 소프트웨어 환경의 무결성에 직접적으로 달려 있다고 재차 강조했습니다.
"운영체제, 브라우저 커널 또는 장치 하드웨어가 손상되면 엔트로피 원천이 약화될 수 있습니다."라고 보고서는 밝혔습니다.
해당 업체는 장기간 코인을 보관할 계획이라면 노출 위험을 최소화하기 위해 하드웨어 지갑을 선택할 것을 사용자들에게 권고했습니다. 또한 소프트웨어 지갑에서 생성된 니모닉 구문을 하드웨어 지갑으로 가져오지 말라고 경고했습니다.
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)