코인스펙트(Coinspect)는 일 블룸(Ill Bloom) 취약점을 공개하였습니다. 이 암호화폐 지갑 결함은 여러 블록체인에서 취약한 복구 구문을 생성하였습니다. 공격자들은 5월 27일 이 취약점을 악용하여 431개 지갑에서 약 310만 달러를 탈취하였습니다.
코인스펙트는 지갑 생성 중 사용된 안전하지 않은 의사 난수 생성기에서 결함을 추적하였습니다. 이 취약점은 비트코인(BTC), 이더리움(ETH), 솔라나(SOL) 등 여러 체인에 걸쳐 있습니다.
일 블룸 취약점이 암호화폐 지갑을 무너뜨리는 방식
코인스펙트에 따르면, 결함이 있는 생성기는 의도된 것보다 암호학적으로 훨씬 약한 복구 구문을 생성하였습니다. 그 결과 공격자는 가능한 모든 구문을 재생성하고 자금이 있는 모든 주소를 훔칠 수 있습니다.
연구진은 공격 전체 과정을 재현하였습니다. 이들은 약한 구문에서 생성할 수 있는 모든 주소를 도출하고, 이를 퍼블릭 블록체인상 자금이 예치된 지갑과 대조하였습니다. 영향을 받은 주소는 2018년까지 거슬러 올라가며, 대부분은 잘 알려지지 않은 모바일 암호화폐 지갑과 연관되어 있습니다.
사용자들은 과거의 지갑 주소를 점검해야 합니다. 하드웨어 지갑 사용자들은 영향을 받지 않았습니다. 올해 초 바이낸스는 모바일 사용자 대상으로 중대한 iOS 경고를 발표했습니다.
5월 27일 조직적 해킹으로 431개 지갑 탈취
코인스펙트의 분석에 따르면, 감시된 주소 세트에는 비트코인, 이더리움, 트론, 루트스톡, 폴리곤 등에서 2,114개의 자금이 있는 주소가 포함되어 있습니다. 5월 27일 탈취된 계정들은 몇 시간 내 공유된 수집 주소로 잔고를 전송하였습니다.
비트코인은 257만 달러로 가장 큰 피해를 입었습니다. 한 계정은 홀로 110만 달러 이상을 잃었습니다. 과거에는 이 노출된 주소들이 2022년 4월 최고 1,256만 달러를 보유한 적도 있었습니다.
이 회사는 310만 달러가 최저치일 뿐이라고 밝힙니다. 영향을 받은 새로운 계정들이 계속 발견되고 있기 때문입니다. 이번 조직적 해킹도 올해 1월에만 4억 달러를 초과한 암호화폐 탈취 피해를 더욱 크게 만들었습니다.
노출된 키는 가치 손실을 빠르게 만듭니다. 이는 최근 휴머니티 프로토콜(Humanity Protocol)에서 발생한 개인키 유출 사고에서 드러났습니다. 특히, 이보다 앞선 밀크 새드(Milk Sad) 등 사고들도 같은 유형의 약한 난수 생성에서 비롯되었습니다.
암호화폐 사용자가 자산을 보호하는 방법
코인스펙트는 알려진 취약 데이터셋과 공개 주소를 비교하는 점검 도구를 배포하였습니다. 그러나, 음성 결과가 나와도 데이터셋이 완전하지 않으므로 안전을 보장하지는 않습니다.
일치하는 사용자는 새로운 암호화폐 지갑을 생성하고 자산을 그 주소로 옮겨야 합니다. 반면, 기존 구문을 다른 앱으로 가져오면 자금은 여전히 위험에 노출됩니다.
이러한 보안 이슈를 사기꾼들이 악용하는 사례도 나타나고 있습니다. 최근 하이퍼리퀴드(Hyperliquid)에서 발생한 가짜 에어드롭 탈취 사건이 그 예입니다. 코인스펙트는 절대 비밀 정보를 요구하지 않는다고 강조하였습니다.
“저희는 시드 구문, 개인키, 서명, 승인을 요청하지 않으며, 지갑을 복구‧보호한다는 명목으로 사용자가 자산을 송금하도록 요구하지 않습니다.”
지갑 공급사들은 더 안전한 기본값을 지속적으로 적용하고 있습니다. 이더리움의 새로운 클리어 사인(Clear Signing) 표준도 그 예입니다. 하지만 며칠 내 어떤 앱이 약한 구문을 생성했는지 드러날 전망입니다. 그때까지, 위험이 표시된 주소에서 암호화폐를 옮기는 것만이 유일하게 확실한 해결책입니다.









