사이버보안 기업인 Unciphered의 최근 발표에 따르면, 2011년부터 2015년 사이에 만들어진 브라우저 기반 지갑 취약성으로 약 21억 달러에 달하는 암호화폐가 위험에 처할 수 있음이 드러났습니다. 이 취약성은 비트코인 (BTC), 도지코인 (DOGE), 라이트코인 (LTC), 지캐시 (ZEC)를 비롯한 여러 네트워크에 영향을 미칩니다.
암호화폐 지갑 취약점의 발견
Unciphered는 초기 투자자 닉 설리벤이 2014년 블록체인.info (현재 블록체인.com)를 사용하여 비트코인 (BTC) 지갑을 만든 후 컴퓨터 메모리를 우연히 초기화하여 지갑의 개인 키를 저장하지 않고 코인에 대한 액세스를 잃은 60만 달러의 비트코인을 회수하려고 하는 중에 이 지갑 취약성을 우연히 발견했습니다.
조사 과정에서 Unciphered는 블록체인.info가 무작위 지갑 키 생성에 사용한 코드인 BitcoinJS로 인해 모든 지갑이 충분히 무작위적이지 않아 공격에 취약하게 된 것을 발견했습니다. 이 취약성은 동일한 BitcoinJS를 사용한 도지코인.info에도 영향을 미쳐 많은 옛날 도지코인 사용자들을 동일한 위험에 노출시켰습니다.
지갑 취약점의 범위
Unciphered에 따르면, 2012년 3월 이전에 만들어진 지갑에는 가치 약 1억 달러의 자산이 일반 가정용 컴퓨터 사용자에 의해 쉽게 해킹될 수 있습니다. 또한, 그 이후 2015년까지 만들어진 지갑에는 최소 500만 달러가 공격에 취약한 500억 달러 이상의 자산이 보유되어 있습니다.
암호학자들은 2014년에 지갑 생성 무작위성의 결함을 확인하고 이후 방법을 개선했지만, Unciphered는 2016년 이후 생성된 지갑 중 약함을 보이는 것을 발견하지 못했습니다.
피해자 경고
Unciphered는 이 취약성을 공개적으로 공개하기 전에 수개월간 피해를 입은 사용자들에게 조용히 경고했지만, 잠재적인 도둑들에게 취약성에 대해 알려주지 않는 방법을 찾는 것이 과제였습니다.
이와 같은 지갑을 생성하는 데 책임이 있는 최대 사이트인 블록체인.com은 Unciphered에 의해 영향을 받은 110만 명 이상의 지갑 소유자들에게 조용히 이메일을 보내고 해당 사이트를 방문한 사람의 지갑을 자동으로 업데이트하는 방법을 찾아냈습니다.
그러나 많은 피해자들은 사용했던 사이트가 더 이상 운영되지 않아 직접적인 경고를 받지 못했습니다.
지갑의 안전성에 관심이 있는 사람들을 위해 cryptoview.io와 같은 플랫폼은 암호화폐 포트폴리오를 종합적으로 볼 수 있게 해주어 자산을 모니터링하고 잠재적인 취약점에 대해 정보를 얻을 수 있습니다.
