탈중앙화 거래소(DEX) 애그리게이터 1인치(1INCH)는 지난 9월 15일 이더리움 가상주소 생성 도구인 프로패니티(Profanity)에서 심각한 취약성을 발견했다고 주장했다. 이는 수백만 달러에 달하는 사용자들의 돈을 위험에 빠뜨릴 수 있는 잠재력을 가지고 있다.
1인치 설립자이자 CEO인 안톤 부코프는 트위터를 통해 이더리움 사용자에게 “펀드는 사푸(SAFU)가 아니다”라고 경고했다. 즉, 사용자 펀드가 해킹이나 악용에 따른 손실 위험에 처해 있다는 뜻이다.
1인치 네트워크는 후에 보안 보고서에서 “가능한 한 빨리 모든 자산을 다른 지갑으로 옮겨라”고 말했다. “만약 당신이 프로패니티를 사용하여 스마트 컨트랙트 가상주소를 얻었다면, 그 스마트 계약의 소유자를 반드시 바꿔라.”
수억 달러에 달하는 리스크 발생
프로패니티는 이더리움 사용자가 식별가능한 이름이나 숫자가 포함된 맞춤형 암호화폐 지갑의 일종인 ‘배티티 주소(vanity address)’를 만들 수 있는 인기있는 도구로 2017년쯤에 출시되었다.
1인치는 자체 보고서에서 프로패니티에서 생성된 주소의 개인 키는 무차별적인 무력 공격을 사용하여 계산될 수 있다고 설명했다. 보고서는 이 취약성으로 인해 해커들이 수년간 프로패니티 사용자들의 지갑에서 수백만 달러를 “은밀하게” 유출시켰을 수 있다고 주장한다.
1인치 측은 “해킹된 모든 배니티 주소를 확인하려고 계속적으로 노력하고 있다”며 다음과 같이 덧붙였다:
“이는 단순한 작업은 아니다. 하지만 현 시점에서는 수억 달러까지는 아니더라도 수천만 달러의 암호화폐가 도난당할 수 있을 것으로 보인다. 한 가지 좋은 점은 해킹의 증거는 영원히 온체인에 남아 있다는 것이다.”
프로패니티 개발자 “이 도구를 사용하지 말라”
깃허브에서 ‘johguse’라는 별명으로 통하는 익명의 프로패니티 개발자는 “개인 키 생성의 근본적인 보안 문제”에 대해 알게 된 후 몇 년 전에 프로젝트를 “포기했다”고 말했다.
“나는 이 도구를 현재 상태에서 사용하지 말 것을 강력히 권고한다. 이 코드는 어떤 업데이트도 받지 않으며 나는 그것을 컴파일할 수 없는 상태로 두었다. 꼭 다른 것을 사용하길 바란다”라고 개발자는 덧붙였다.
이더리움은 공용 키와 개인 키의 조합을 사용하여 지갑 주소를 생성한다. 주소의 개인 키를 가지고 있는 사람들은 한 계좌에서 다른 계좌로 자금을 이체하는 것을 승인할 수 있으며, 그들이 돈을 소유하고 있다는 것을 증명할 수 있다.
그러나 배니티 어드레스는 생성 방식은 다소 다르다. 1인치는 유명하고 “고효율적인” 도구인 프로패니티가 사용자들이 초당 수백만 개의 주소를 만들 수 있도록 하고 사용자가 요청한 문자와 숫자 문자열을 검색하여 맞춤 지갑 주소를 제공했다고 상세하게 설명했다.
1인치는 프로패니티가 주소를 생성하는 데 사용한 방법은 절대적인 증거가 아니며 배니티 주소의 공개 키는 무차별적인 공격으로도 계산될 수 있다고 말한다.
“며칠 전 1인치 기여자들이 프로패니티로 생성된 모든 배니티 주소에서 개인 키를 거의 동시에 복구할 수 있는 개념 증명 코드를 달성했다”고 1인치 측은 설명했다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.