최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- 보안 회사 SlowMist는 자바스크립트 타원 곡선 라이브러리에서 취약점을dent.
- 이 결함으로 인해 공격자는 단 한 번의 서명 작업만으로 개인 키를trac할 수 있습니다.
- 해당 라이브러리는 암호화폐 지갑과 Web3 애플리케이션에서 널리 사용됩니다.
블록체인 보안 회사인 슬로우미스트(SlowMist)는 널리 사용되는 자바스크립트 암호화 라이브러리에서 사용자의 개인 키가 공격자에게 노출될 수 있는 취약점을dent.
이 보안 결함은 여러 암호화폐 지갑,dent시스템 및 Web3 애플리케이션에 타원 곡선 암호화 기능을 제공하는 인기 있는 "elliptic" 라이브러리에 영향을 미칩니다.
에 따르면 분석, 이 취약점은 서명 연산 중 비표준 입력값을 처리하는 라이브러리의 결함에서 비롯됩니다. 이러한 결함으로 인해 ECDSA 서명에 동일한 난수가 반복될 수 있습니다. ECDSA 서명의 보안은 이러한 난수 값의 고유성에 전적으로 의존하기 때문에, 난수가 반복될 경우 공격자는 수학적으로matic키를 유추할 수 있습니다.
취약점으로 인해 최소한의 조작만으로 개인 키를trac할 수 있습니다
이 결함의 원인은 타원형 라이브러리가 암호학자들이 "k 값"이라고 부르는 것을 생성하는 방식에 있습니다. 이 k 값은 서로 다른 서명에서 절대 재사용되어서는 안 되는 난수입니다. SlowMist의 분석에 따르면 공격자는 특정 입력을 조작하여 라이브러리가 이 값을 재사용하도록 속일 수 있습니다. SlowMist 보고서는 "k 값을 생성할 때 개인 키와 메시지가 시드(seed)로 사용되어 서로 다른 입력에서도 고유성을 보장합니다."라고 설명합니다.
이 결함은 피해자와의 최소한의 상호 작용만으로도 공격이 가능하기 때문에 매우 위험한 공격 경로를 제공합니다. 공격자는 유효한 서명 하나만 확보한 후, 피해자가 특수하게 조작된 메시지에 서명하도록 유도하면 됩니다. 두 서명을 비교함으로써 공격자는 비교적 간단한 공식을 사용하여 피해자의 개인 키를matic으로 추론할 수 있습니다.
광범위한 도입은 수많은 Web3 애플리케이션을 위험에 빠뜨릴 수 있습니다
자바스크립트 커뮤니티에서 elliptic 라이브러리를 많이 사용하는 만큼, 이 취약점의 잠재적 영향은 더욱 커집니다. SlowMist에 따르면 이 취약점은 6.6.0 버전까지 모든 버전에 존재하며 다양한 타원 곡선을 사용하는 애플리케이션에 영향을 미칩니다.
외부에서 제공된 입력에 대해 ECDSA 서명을 수행하는 모든 애플리케이션은 위험에 노출될 수 있습니다. 여기에는 암호화폐 지갑, 탈중앙화 금융 앱, NFT 플랫폼 및 Web3 기반 신원dent앱이 포함될 수 있습니다.
디지털 화폐 분야에서 라이브러리를 활용하는 방식에는 공격 취약점이 존재합니다. 개인 키가 유출될 경우, 공격자는 해당 자산에 대한 완전한 통제권을 확보하게 됩니다. 해커는 무단으로 자금을 이체하거나, 소유권 기록을 변경하거나, 탈중앙화 애플리케이션에서 사용자를 사칭할 수 있습니다.
SlowMist는 보안 위협을 완화하기 위해 사용자와 개발자를 위한 몇 가지 긴급 권장 사항을 게시했습니다. 개발자는 우선 elliptic 라이브러리를 버전 6.6.1 이상으로 업데이트해야 합니다. 해당 취약점은 최신 릴리스에서 공식적으로 해결되었기 때문입니다.
SlowMist는 라이브러리 업데이트 외에도 개발자들이 앱에 추가적인 보안 조치를 포함할 것을 권장합니다. 영향을 받은 앱 사용자들의 가장 큰 걱정은 개인 키가 이미 위험에 노출되었을 가능성입니다. SlowMist는 악성 또는 알 수 없는 메시지에 서명했을 가능성이 있는 사용자는 개인 키를 교체하는 예방 조치를 취할 것을 권장합니다.
기술적 취약점이 주요 관심사로 떠오르면서 피싱 공격은 줄어들고 있습니다
SlowMist의 분석 결과는 기술적 취약점으로 인한 위협을 시사하지만, Scam Sniffer의 자료에 따르면 일반적인 피싱 공격은 3개월 연속 감소했습니다. 2025년 2월에는 7,442명의 피해자가 532만 달러의 손실을 입었습니다. 이는 1월의 1,025만 달러보다 48%, 12월의 2,358만 달러보다 77% 감소한 수치입니다.
🧵 [1/4] 🚨 스캠스니퍼 2025년 2월 피싱 보고서
2월 손실액: 532만 달러 | 피해자 7,442명
1월 손실액: 1,025만 달러 | 피해자 9,220명
(-전월 대비 48% 감소) pic.twitter.com/HsZZSlYKJC— 스캠 스니퍼 | 웹3 안티스캠 (@realScamSniffer) 2025년 3월 5일
이러한 하락 추세가 분명하게 나타나고 있지만, 여전히 매우 강력한 공격 경로가 여러 가지 존재합니다. 해커가 합법적인 지갑 주소와 시각적으로 구별할 수 없는 주소를 생성하는 허가 허용 공격(Permit Allowance Attack)은 단일 공격으로 77만 1천 달러 상당의 이더리움 손실을 초래한 최대 규모의 손실 사례입니다.
허가 기반 공격으로 인한 손실액이 61만 1천 달러에 달했으며, BSC에서 취소되지 않은 피싱 승인으로 인한 손실액이 61만 달러에 이르렀습니다. IncreaseApproval 취약점을 이용한 공격으로 인한 손실액은 32만 6천 달러(ETH 기준)로 가장 큰 피해를 입혔습니다.
에 진입하고 싶다면 DeFi 화폐 과도한 홍보 없이
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)