Fireblocks가 주요 MPC 지갑에 위협을 가하는 ‘BitForge’ 취약점을 발견했습니다.

Fireblocks discovered the 'BitForge' vulnerability that poses a threat to major MPC wallets.

출처: AdobeStock / Sergey Nivens

암호화폐 인프라 기업인 Fireblocks는 “BitForge“라고 불리는 취약점 집합을 발견했는데, 이는 다중 당사자 계산 (MPC) 기술을 사용하는 인기있는 암호화폐 지갑에 위협을 가합니다. 

이 취약점들은 “제로데이”로 분류되었으며, 이는 Fireblocks가 해당 소프트웨어 개발자들에게 알리기 전에는 알려지지 않았다고 회사는 수요일 보도자료에서 밝혔습니다. 

Coinbase, ZenGoBinance와 같은 주요 회사들은 Fireblocks와 협력하여 이러한 취약점을 해결하고 잠재적인 악용을 방지하였습니다. 

Fireblocks는 발표에서 공격자들이 이러한 취약점을 이용하여 “수백만의 소매 및 기관 고객의 지갑에서 자금을 몇 초 내에 빼앗을 수 있었으며, 사용자나 공급업체에 대한 정보 없이 이루어질 수 있었다”고 말했습니다. 

일반적으로 이러한 취약점을 악용하기 위해서는 공격자가 지갑 사용자의 장치를 침해하거나 지갑 서비스나 서드파티 보관자의 내부 시스템을 침입하여 암호화된 개인 키의 일부에 접근해야합니다. 

구체적인 단계는 사용되는 지갑에 따라 다릅니다.

Fireblocks는 영향을 받을 수 있는 다른 팀들도 식별하였으며, 업계 표준인 90일 책임있는 공개 과정을 통해 해당 팀들에게 연락을 취하였습니다.

Fireblocks의 CEO인 Michael Shaulov는 이러한 취약점들이 악용될 수 있었지만, 공격의 복잡성으로 인해 악의적인 주체들이 Fireblocks가 이를 알리기 전에 발견하지 못했을 가능성이 높다고 말했습니다.

BitForge 취약점이 MPC 지갑의 보안을 약화시킵니다

주요 지갑에서는 취약점이 패치되었을 수 있지만, 이 사건은 보통 초 안전한 다중 당사자 계산 (MPC) 지갑의 안전에 대한 우려를 제기합니다. 

암호화폐 지갑에서의 MPC 기술은 사용자의 개인 키를 지갑 사용자, 지갑 제공자 및 신뢰할 수 있는 제 3자와 같은 여러 당사자들 사이에서 분할하여 단일 결함 지점을 없애기 위해 설계되었습니다. 

어떤 단일 개체도 다른 당사자들의 도움 없이는 지갑을 열 수 없습니다. 

하지만 BitForge 취약점은 공격자가 하나의 장치만 침해한다면 전체 개인 키를 추출할 수 있게 하여 MPC의 다중 당사자 측면을 약화시킵니다.

Coinbase는 사용자를 대상으로 하는 지갑 서비스인 Coinbase Wallet이 영향을 받지 않았지만, 회사가 수정을 시행하기 전에는 Wallet-as-a-Service (WaaS) 제공이 기술적으로 취약했다고 밝혔습니다. 

Coinbase는 Fireblocks에 의해 발견된 취약점들이 본인의 경우에는 실제로 악용하기 매우 어렵다고 주장하였는데, 이는 Coinbase의 인프라 내에 악의적인 서버가 사용자들을 속여 인증된 서명 요청을 여러 차례 시작하도록 유도해야만 한다는 것이었습니다.

“Coinbase 고객과 자금은 결코 위험에 노출되지 않았지만, 완전히 신뢰할 수 있는 암호화 모델을 유지하는 것은 모든 MPC 구현의 중요한 측면입니다.”라고 Coinbase의 최고 정보 보안 책임자인 Jeff Lunglhofer가 말했습니다. 

마찬가지로, Binance의 CEO인 Changpeng Zhao는 문제가 “Binance가 오픈소스로 공개한 TSS 라이브러리에 존재했었다”고 밝혔으며, 이는 수정되었습니다.