최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- 최근 공개된 정보에 따르면 해커들이 하드웨어 지갑에서 사용자 개인 키를 유출하는 새로운 수법이 발견되었습니다.
- 이 방법은 사용자가 두 번의 거래에 서명한 후 해커가 개인 키를 훔칠 수 있도록 합니다.
- 사용자와 하드웨어 지갑 제조업체는 이러한 공격을 예방하기 위해 각별히 주의해야 합니다.
최근 보안 연구원들이 두 번의 서명된 거래만으로 해커가 하드웨어 지갑과 사용자 개인 키에 접근할 수 있는 새로운 유형의 악성 공격을 공개했습니다. 연구원들은 이 공격을 '다크 스키피(Dark Skippy)'라고 명명했으며, 해커가 사용자를 속여 악성 펌웨어를 다운로드하도록 유도하는 방식으로 작동합니다.
닉 패로우, 로이드 포니어, 그리고 로빈 리너스는 다크 스키피에 대한 자세한 정보를 담은 공개 자료를 발표했습니다. 닉 패로우와 로이드 포니어는 곧 출시될 하드웨어 지갑 회사인 프로스트스냅의 공동 창업자입니다. 로빈 리너스는 Bitcoin 프로토콜인 비트VM과 제로싱크 개발에 참여하고 있습니다.
보고서는 모든 서명 장치가 서명된 모든 비트코인 거래에 대해 논스(nonce)라고 알려진 임의의 값을 삽입하는 방식을 설명했습니다. 취약한 논스는 공격자가 '논스 그라인딩'을 통해 서명에서 개인 키를 해독할 수 있도록 허용할 수 있습니다
다크 스키피 공격은 유사한 기법에 의존합니다. 공격자는 서명 장치에 악성 펌웨어를 심습니다. 이 악성 펌웨어는 장치가 거래에 서명할 때마다 취약한 난수를 생성합니다.
공격자는 폴라드의 캥거루 알고리즘과 같은 기술을 사용하여 시드 구문을 계산하고 피해자의 지갑에 접근할 수 있습니다. 다크 스키피는 기존의 논스 생성 기법에 비해 속도가 빠르고 서명된 거래 횟수도 적습니다.
연구진은 다크 스키피에 대한 완화 조치를 제안합니다
닉, 로빈, 그리고 로이드는 완화 조치를 . 연구원들은 대부분의 서명 장치에는 악성 펌웨어 설치를 막기 위한 하드웨어 보안 기능이 있다고 설명했습니다. 이러한 조치에는 장치 물리적 접근 보안, 하드웨어 보안 기술 적용, 정품 서명 장치 구매 등이 포함됩니다.
닉은 트윗했습니다 과거에 사용되었던 프로토콜 기반 완화 조치(예: 데이터 유출 방지 및 결정론적 논스)에 대해 부분 서명된 Bitcoin 거래 보고서에서
제안된 두 가지 조치는 어댑터 서명 의무화와 논스 작업증명 의무화입니다. 이러한 조치는 새로운 PSBT 필드와 같은 다크 스키피 공격을 차단하는 것을 목표로 합니다.
프로스트스냅 공동 창립자는 완화 방안 논의 및 실행을 여전히 강조했습니다. 연구진은 또한 독자와 업계 전문가들에게 보고서에 제시된 완화 조치에 대한 의견을 제공해 줄 것을 요청했습니다.
Bitrace는 새로운 QR 코드 사기에 대해 경고합니다
"QR 코드를 스캔한 후 강도를 당했어요."
비트trac(Bi trac e)는 결제 QR 코드 전송 테스트를 통해 절도가 이루어지는 새로운 유형의 사기를 발견했는데, 이는 사용자를 속여 지갑 승인을 유도하는 방식입니다.
실 🧵
— 비트tractractractractractractractractrace_team) 2024년 8월 8일
비트trac)는 최근 트위터를 사용자를 속여 지갑 승인을 유도하는 새로운 사기 수법에 대해 알렸습니다. 최근 암호화폐 지갑 도난 피해자가 회사에 도움을 요청하며 연락해왔습니다. 피해자는 QR 코드를 통해 1 USDT를 전송해 보려다 자금이 모두 도난당했다고 설명했습니다. 피해자는 QR 코드 스캔만으로 어떻게 자신의 자금이 도난당했는지 이해할 수 없다고 밝혔습니다.
데이터 분석 회사는 QR 코드 사기가 QR 코드 송금 테스트를 이용한 새로운 유형의 사기라고 설명했습니다. 사기범들은 먼저 피해자들에게 오프라인 거래를 제안합니다. 그런 다음 다른 암호화폐 시장 서비스보다 낮은 환율을 제시합니다.
또한 해당 회사는 사기꾼들이 장기적인 협력에 대한 대가로 TRX를 제공하고 신뢰를 얻기 위해 USDT를 송금한다고 밝혔습니다. 그런 다음 사기꾼들은 피해자에게 접근하기 위해 소액의 테스트 결제를 요구합니다.
비트레이스(Bitrac)는 피해자가 제공한 QR 코드와 빈 지갑을 이용해 사기 수법을 테스트했습니다. 회사 측에 따르면 QR 코드를 스캔하면 제3자 웹사이트로 연결되어 상환 금액을 요구하는 것으로 나타났습니다. 피해자가 거래를 확인하는 순간, 사기범들은 지갑 접근 권한을 탈취합니다. 그런 다음 사이버 범죄자들은 피해자의 지갑에 있는 모든 자금을 다른 곳으로 이체합니다.
은행에 돈을 넣어두는 것과 암호화폐에 투자하는 것 사이에는 중간 지점이 있습니다. 탈중앙화 금융.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)