온라인 암호화폐 종이 지갑 생성을 해주는 월렛제너레이터(WalletGenerator)가 개인 키/공용 키 쌍을 다수의 이용자들에게 발행한 코드를 이용했다고 한다. 이러한 문제는 보안 연구원 해리 덴리(Harry Denley)가 마이크립토(MyCrypto)를 통해 현지시각 5월 24일 보도했다.

암호화폐 전문매체 코인텔레그래프(Cointelegraph)에 의하면 덴리는 문제가 되는 코드가 2018년 8월부터 적용되었으며, 5월 23일자로 이 코드가 패치되었음을 밝혔다고 한다. 웹사이트의 코드는 오픈 소스로 공개되었으며, 기트허브(GitHub)에 의해 감사를 받았다고 한다. 하지만 현재 오픈 소스로 공개된 코드와 기트허브가 감사한 코드에는 차이가 있다고 한다. 라이브 코드를 조사한 결과, 덴리는 키들이 웹사이트에 올라온 코드로 만들어졌고, 랜덤이 아닌 결정론적으로 만들어졌음을 확정지을 수 있었다고 한다.

덴리가 속한 마이크립토가 시행한 시험 중 하나는 5월 18일부터 23일 사이에 진행되었는데, 이 시험을 통해 그들은 1,000개의 키를 만들어 보았다고 한다. 기트허브 버전은 1,000개의 고유한 키를 제공했으나, 웹사이트에 공유된 오픈 소스 코드는 120개의 고유한 키를 제공했다고 한다. 임시로 만든 키 제작 코드를 이용했을 때는 항상 1,000개의 고유한 키가 아닌 120개의 고유한 키만이 나왔다고 하며, 이는 브라우저 갱신, VPN 변경, 이용자 변경과 같이 다른 요소들이 변경되었을 때도 동일했다고 한다.

종이 지갑이 안전하기 위해서는 키를 임의적으로 생성하는 것은 아주 중요하다. 덴리는 게시글을 통해 “키를 생성할 때, 아주 임의인 숫자를 선택한 후 이를 개인 키로 바꾸고, 그것을 공공 키로 바꾼다”며, “하지만 그 임의의 숫자가 언제나 5이고, 이를 개인 키로 바꾸면 개인 키는 항상 같을 것”이라고 말했다. 덴리는 “이게 바로 임의의 숫자가 5가 아닌 진짜 임의인 것이 중요한 이유”라고 말했다.

월렛제너레이터는 마이크립토가 조사를 진행하는 중에 그들과 접촉을 하자, 이러한 결정론적 숫자 선택 문제를 해결했다고 한다. 월렛제너레이터는 이후 이러한 혐의는 증명 불가능한 혐의이며, 접촉인에게 마이크립토가 “피싱 웹사이트”가 아니냐는 말까지 했다고 한다.

마이크립토는 2018년 8월 17일 이후 키를 생성한 이용자들은 즉시 자산을 다른 지갑으로 옮기고 월렛제너레이터를 이용하지 말 것을 권고했다.

Leave comment

Your email address will not be published. Required fields are marked with *.

WordPress Image Lightbox