키헌터 작성 

암호화 블랙 스완 공격

ECDSA 알고리즘에서 발생하는 논스 재사용이라는 치명적인 암호화 취약점은 비트코인 ​​생태계 보안의 진정한 아킬레스건으로 드러났습니다. 두 개의 디지털 서명에서 논스가 재사용되는 단 한 번의 사례만으로도 공격자는 피해자의 개인 키를 추론하여 지갑 전체를 즉시 장악하고 자금에 대한 완전한 통제권을 확보할 수 있습니다. 이러한 현상은 과학적으로 다음과 같이 알려져 있습니다.

논스 재사용 공격   또는   논스 재사용을 통한 개인 키 복구  .

이 공격은 비트코인 ​​암호화 시스템을 완전히 무력화시켰습니다. 수백 개의 주소에서 공격이 감지되었고, 수백만 달러가 도난당했으며, 암호화폐의 신뢰도가 심각하게 손상되었습니다. 공격 방식은 블록체인을 스캔하여 취약한 서명을 찾아내고, 개인 키를 즉시 계산하여 관리 자산을 돌이킬 수 없게 만드는 것입니다.

비트코인의 치명적인 취약점: 논스 재사용 공격이 개인 키 및 암호화폐 보안의 완전한 침해의 핵심 요인

연구 논문: 비트코인 ​​암호화폐 보안에 대한 Nonce 재사용 공격의 영향

비트코인은 가장 규모가 큰 탈중앙화 암호화폐입니다. 비트코인의 보안은 타원 곡선 디지털 서명 알고리즘(ECDSA)에 기반하며, 이는 거래의 진위성과 자금 소유권을 보장합니다. 각 거래 서명에 사용되는 논스(nonce)의 고유성과 비밀성은 알고리즘의 안정성에 매우 중요한 역할을 합니다  .  이 고유성을 침해하는 행위는 전체 시스템에 치명적인 결과를 초래할 수 있습니다.

공격의 과학적 명칭 및 CVE 색인

암호학 문헌에서 이러한 공격은 다음과 같이 불립니다.

• Nonce 재사용 공격
• ECDSA Nonce 재사용 공격
• Nonce 재사용을 통한 ECDSA 개인 키 복구 공격
• 때때로 –   ECDSA 키헌터+1 에 대한 약한 무작위성 공격 

취약점 분류에 따르면 CVE는 다음과 같습니다.

• 예시:   CVE-2018-0734   (nonce 재사용),   CVE-2020-28498   (ECDSA 서명 생성 오류로 인한 개인 키 유출),   CVE-2024-31497   (편향된 ECDSA nonce 생성 – 빠른 개인 키 계산)  greenbone+2
• 설명: 비트코인 ​​프로토콜에 특화된 CVE는 없지만, 이 취약점은 서명 라이브러리에서 nonce 구현이 부실한 경우에 흔히 발생하는 문제입니다.

취약성은 어떻게 발생하는가?

문제의 암호학적 특성

ECDSA 트랜잭션에 서명하려면 임의의 숫자(또는 고유한 의사 난수) k(nonce)가 필요합니다. 이 숫자는 동일한 개인 키로 서명된 두 메시지에서 중복되어서는 안 됩니다. 서명 공식은 다음과 같습니다. s = k−1(z+rd)mod ns = k^{-1}(z + rd) \mod ns=k−1(z+rd)modn

두 개의 서로 다른 서명에 대해 k 값을 반복하면 공개 데이터로부터 개인 키 d를 계산할 수 있으며, 이는 자금 소유자의 보안을 완전히 위협합니다. d = (s1z2 − s2z1) (r (s2 − s1)) mod nd = \frac { (s_1 z_2 – s_2 z_1) } { (r (s_2 – s_1)) } \mod nd = (r (s2 − s1)) (s1z2 − s2z1) mod n

재사용 이유:

• 구현 오류(난수 생성기 결함, RFC6979 구현 오류)
• 논스 예측 가능성 (예: 결정론적 생성기의 취약성)
• 동일한 nonce 또는 관련 값을 사용하는 공격(예: 폴리논스 공격, 사이드 채널 공격, MuSig2 결함)  keyhunters+3

비트코인 보안에 미치는 영향

착취와 그 결과

실제 공격에서 공격자는 블록체인에서 동일한 r 값(또는 유사한 nonce 값)을 가진 서명을 검색합니다. 일치하는 서명이 발견되면 피해자의 개인 키가 즉시 복구되고, 그 후 다음과 같은 작업이 진행됩니다.

• 주소지의 모든 자금을 훔치는 방법: 공격자는 모든 수신자의 거래에 서명합니다.
• 대규모 자금 횡령, 시스템에 대한 신뢰 훼손
• 메시지 및 거래 위조, 스마트 계약 공격  (publications.cispa+1)

역사적 공격

실제 사례는 2015년 이전(그리고 그 이후에도) 수백 개의 비트코인 ​​주소에서 보고되었으며, 특히 nonce 생성 구현이 미흡하고 라이브러리가 오래된 초기 지갑에서 이러한 현상이 두드러지게 나타났습니다.  acm+1

해결책 및 과학적 예방

결정론적 논스 생성(RFC6979, BIP62)

논스 재사용 공격을 방지하는 과학적으로 입증된 방법은   RFC6979 및 BIP62를 통해 결정론적 논스 생성을 구현하는 것 입니다   . 올바르게 구현될 경우, 논스는 메시지와 개인 키의 암호화 함수로 계산되므로, 서로 다른 메시지에 대해 예측하거나 반복할 수 없습니다. 

최신 프로토콜: 엔트로피 검사 및 감사

• RFC6979(또는 Schnorr의 경우 BIP340) 규격을 완벽하게 준수합니다.
• 측면 및 중복 논스가 없는지 소스 코드를 감사합니다.
• 정기적인 테스트와 보안 업데이트를 거치는 라이브러리를 사용합니다.  keyhunters+1

결론

논스 재사용 공격   은 비트코인에 대한 가장 위험한 암호화 공격 중 하나로, 개인 키의 즉각적인 노출과 지갑 보안의 완전한 붕괴로 이어집니다. 알려진 CVE 분류에서 이 취약점은   다양한 라이브러리에서 CVE-2020-28498  ,   CVE-2018-0734  ,   CVE-2024-31497 번호로 등재되어 있습니다   . RFC 6979 및 BIP62와 같은 최신 프로토콜은 올바르게 구현될 경우 이러한 공격으로부터 보호를 보장합니다.  nvd.nist+2

공격의 과학적 명칭  : Nonce 재사용 공격 / Nonce 재사용을 통한 개인 키 복구 공격

CVE 예시  : CVE-2020-28498, CVE-2018-0734, CVE-2024-31497

암호화 취약점

ECDSA 코드의 암호화 취약점 분석

제공된 코드를 분석하고 ECDSA 구현에서 알려진 암호화 취약점을 검토한 결과, 이 코드에는 개인 키 유출로 이어질 수 있는 명백한 심각한 취약점이 없는 것으로 확인되었습니다    .  notsosecure+2

코드 보안 분석

패키지에 포함된 코드는   btcsuite/btcd/btcec/v2 ECDSA 서명을 생성하는 것이 아니라 ECDSA 서명을 파싱하고 검증하는 라이브러리의 일부입니다. 주요 기능은 다음과 같습니다.

• DER/BER로 인코딩된 서명 파싱
• R 및 S 시그니처 매개변수의 유효성 검증
• 서명 형식의 정확성 확인

코드에 검증된 보안 조치가 적용되었습니다.

해당 코드에는 몇 가지 중요한 보안 검사가 포함되어 있습니다:  reddit+1

106~115행:   R 매개변수의 범위 확인

가다:

if len(rBytes) > 32 {
    str := "invalid signature: R is larger than 256 bits"
    return nil, errors.New(str)
}
if overflow := r.SetByteSlice(rBytes); overflow {
    str := "invalid signature: R >= group order"
    return nil, errors.New(str)
}
if r.IsZero() {
    str := "invalid signature: R is 0"
    return nil, errors.New(str)
}

147-156행:   S 매개변수에 대한 유사한 검사

가다:

if len(sBytes) > 32 {
    str := "invalid signature: S is larger than 256 bits"  
    return nil, errors.New(str)
}
if overflow := s.SetByteSlice(sBytes); overflow {
    str := "invalid signature: S >= group order"
    return nil, errors.New(str)
}
if s.IsZero() {
    str := "invalid signature: S is 0"
    return nil, errors.New(str)
}

이러한 검사는 R 또는 S 값이 0인 경우 서명 검증이 우회될 수 있는 CVE-2022-21449(“Psychic Signatures”) 취약점으로부터   보호   합니다  .

잠재적 중점 분야

심각한 취약점은 발견되지 않았지만, 몇 가지 고려 사항이 있습니다.

1. 외부 라이브러리에 대한 의존성

이 코드는 외부 구성 요소의 함수를 사용합니다   github.com/decred/dcrd/dcrec/secp256k1/v4/ecdsa. 보안은 이러한 외부 구성 요소의 올바른 구현에 달려 있습니다.  keyhunters+1

2. 서명 생성 기능

실제 취약점은 대개 서명  생성  함수, 특히 논스(nonce number)를 생성하는 함수에 존재합니다. 이 코드에서는 이러한 함수가 라이브러리에 위임되어 있습니다   secp_ecdsa.  (github+2)

174-176행:

가다:

func Sign(key *btcec.PrivateKey, hash []byte) *Signature {
    return secp_ecdsa.Sign(key, hash)
}

3. 결정론적 논스 생성

최신 보안 구현에서는 결정론적 논스 생성을 위해 RFC 6979를 사용해야 합니다. 이는 다음을 방지합니다:  dev+1

• Nonce 재사용 공격  arxiv+1
• 취약한 난수 생성기의 취약점  security.snyk+1
• 예측 가능한 논스에 대한 공격  attacksafe+1

결론

제공된 코드에는 개인 키를 직접 유출할 수 있는 암호화 취약점이 포함되어 있지 않습니다.   이 코드는 ECDSA 서명을 구문 분석하고 검증하는 데 있어 보안 모범 사례를 준수합니다.

잠재적인 취약점은 다음과 같은 곳에 있을 수 있습니다.

• 종속 라이브러리의 서명 생성 함수 구현
• RFC 6979 opencve+1 을 준수하지 않는 논스 생성 알고리즘 
• 개발자들이 이 API를 잘못 사용하는 경우

완벽한 보안을 보장하기 위해 사용 중인 종속 라이브러리의 버전을 확인하고 RFC 6979에 따라 결정론적 논스 생성이 올바르게 구현되었는지 확인하는 것이 좋습니다.  keyhunters+1

논스 재사용 공격은   동일한 난수(논스)를 사용하여 두 개의 서로 다른 서명을 생성하는 것이 어떻게 개인 키를 완전히 탈취하는지 보여줍니다. 이는 ECDSA 알고리즘의 수학적 특성 때문에 발생하는데, 동일한 논스를 사용하는 두 서명을 알면 간단한 대수 연산을 통해 개인 키를 계산할 수 있기 때문입니다.

개인 키 복구 과정은   공격자가 동일한 논스를 가진 두 개의 서명을 이용하여 비밀 키를 추출하는 방법을 보여줍니다. 수학적 복구 공식은 이며   d = (z1 - z2) * (s1 - s2)^-1 mod n, 여기서 d는 개인 키입니다.

비트코인의 보안상 문제점으로   는 지갑의 완전한 해킹, 자금 도난, 그리고 키 소유자 명의로 거래를 위조할 가능성 등이 있습니다.

이 방식은 RFC 6979에 따른 결정론적 논스 생성 방법을 사용하는 것이 매우 중요하다는 점을 강조합니다. 이는 무작위 반복의 위험을 제거하고 시스템의 암호학적 보안을 보장합니다.

Dockeyhunt 암호화폐 가격

성공적인 복구 시연: 5.28098999 BTC 지갑

사례 연구 개요 및 검증

크립토딥테크(CryptoDeepTech) 연구팀은  52억 8,809만 8,999 BTC  (복구 당시 약 663,952.46달러)   가 들어 있는 비트코인 ​​지갑에 접근하여 해당 취약점의 실질적인 영향을 성공적으로 입증했습니다  . 목표 지갑 주소는 1CgCMLupoVAnxFJwHTYTKrrRD3uoi3r1ag 로 , 비트코인 ​​블록체인 상에서 공개적으로 확인 가능한 주소이며 거래 내역과 잔액이 확인된 주소입니다.

이번 시연은   취약점의 존재와 공격 방법론의 효과성을 실증적으로 검증하는 역할을 했습니다.

www.bitseed.ru

복구 과정에는 지갑의 개인 키를 재구성하기 위해 취약점을 체계적으로 적용하는 작업이 포함되었습니다. 취약점의 매개변수를 분석하고 축소된 검색 공간 내에서 잠재적인 키 후보들을 체계적으로 테스트한 결과, 팀은   지갑 가져오기 형식(WIF)에서  유효한 개인 키인 5KDy5HYH9Xqoo8VeBVNNuN1H3bXimbcUuiaqNaYWbxfZnC6n3sY를 성공적으로 식별했습니다.

이 특정 키 형식은 추가 메타데이터(버전 바이트, 압축 플래그 및 체크섬)가 포함된 원시 개인 키를 나타내며, 대부분의 비트코인 ​​지갑 소프트웨어로 가져올 수 있도록 합니다.

www.bitcolab.ru/bitcoin-transaction  [지갑 복구: $663952.46]

기술적 프로세스 및 블록체인 확인

기술적 복구는  취약한 하드웨어를 사용하여 생성되었을 가능성이 있는 지갑을 식별하는 것부터 시작하여 여러 단계를 거쳤습니다  . 그런 다음 팀은  결함이 있는 키 생성 프로세스를 시뮬레이션하는 방법론을 적용하여  후보 개인 키를 체계적으로 테스트하고 표준 암호화 유도(구체적으로는 secp256k1 곡선에서 타원 곡선 곱셈을 통해)를 통해 목표 공개 주소를 생성하는 키를 찾아냈습니다.

블록체인 메시지 디코더:  www.bitcoinmessage.ru

유효한 개인 키를 확보한 후, 팀은   지갑 제어권을 확인하기 위해  검증 거래를 수행했습니다. 이러한 거래는 개념 증명을 보여주는 동시에 복구된 자금의 대부분을 합법적인 반환 절차에 사용할 수 있도록 구성되었습니다. 전체 과정은 투명하게 문서화 되었으며 , 거래 기록은 비트코인 ​​블록체인에 영구적으로 기록되어 취약점 악용 가능성과 성공적인 복구 방법론에 대한 불변의 증거로 활용되었습니다.

0100000001b964c07b68fdcf5ce628ac0fffae45d49c4db5077fddfc4535a167c416d163ed000000008a4730440220597cbf117662c722ec699a25b3379a5a1232fd1e5573394d2a36f0c353f4f7f002204795f46bcc740a1ba367ec09d9fb9baa5d381c30894fc0a3c92ba88c5685a72201410479d1e13ab70eff395460436ad5877b353689915c8ccb813f08682a8573556babdb528ef4a8caeda3ce07c0474ce2a7dc4054ca5e75464bbb7deb73c95331de17ffffffff030000000000000000446a427777772e626974636f6c61622e72752f626974636f696e2d7472616e73616374696f6e205b57414c4c4554205245434f564552593a2024203636333935322e34365de8030000000000001976a914a0b0d60e5991578ed37cbda2b17d8b2ce23ab29588ac61320000000000001976a914801314cd462b98c64dd4c3f4d6474cad11ea39d588ac00000000

암호 분석 도구는  비트코인 ​​지갑 소유자의 요청에 따른 공인 보안 감사뿐만 아니라  암호 분석 , 블록체인 보안 및 개인 정보 보호 분야의 학술 및 연구 프로젝트, 그리고 소프트웨어 및 하드웨어 암호화폐 저장 시스템 모두에 대한 방어 애플리케이션을 위해 설계되었습니다.

CryptoDeepTech 분석 도구: 아키텍처 및 작동 방식

도구 개요 및 개발 배경

크립토딥테크(CryptoDeepTech) 연구팀은   취약점을 식별하고 악용하도록 특별히 설계된  암호화 분석 도구를 개발했습니다. 이 도구는  블록체인 보안 연구 및 취약점 평가에 중점을 둔 광범위한 프로젝트의 일환으로  귄터 죄이어(Günther Zöeir) 연구 센터 의 연구실에서 개발되었습니다. 이 도구는 엄격한 학술적 기준을 준수하여  개발되었으며, 두 가지 목적을 가지고 설계되었습니다. 첫째, 약한 엔트로피 취약점의 실질적인 영향을 입증하는 것, 둘째, 향후 유사한 취약점으로부터 보호하는 데 도움이 될 수 있는 보안 감사 프레임워크를 제공하는 것입니다.

이 도구는   암호 분석 요소와 최적화된 검색 방법론을 결합한  체계적인 스캔 알고리즘을 구현합니다. 이 도구의 아키텍처는 비트코인 ​​네트워크의 방대한 주소 공간에서 취약한 지갑을 효율적으로 식별하는 동시에 취약점으로 인해 발생하는 수학적 제약을 해결하도록 특별히 설계되었습니다. 이는 블록체인 포렌식 기능 에 있어 중요한 진전을 의미하며 , 악의적인 공격에 의해 악용될 때까지 발견되지 않을 수 있는 광범위한 취약점을 체계적으로 평가할 수 있게 해줍니다.

기술 아키텍처 및 운영 원칙

CryptoDeepTech 분석 도구는 여러  상호 연결된 모듈 로 구성되어 있으며 , 각 모듈은 취약점 식별 및 악용 과정의 특정 측면을 담당합니다.

1. 취약점 패턴 인식 모듈 : 이 구성 요소는 공개 키 생성 과정에서 나타나는 약한 엔트로피의 수학적 특징을 식별합니다. 블록체인 상의 공개 키 구조적 특성을 분석하여 취약성과 일관된 특성을 보이는 주소를 표시할 수 있습니다.
2. 결정론적 키 공간 열거 엔진 : 이 도구의 핵심인 이 엔진은 엔트로피 취약점으로 인해 축소된 키 공간을 체계적으로 탐색합니다. 보안 키 생성에 대한 무차별 대입 방식과 비교하여 계산 요구 사항을 획기적으로 줄이는 최적화된 검색 알고리즘을 구현합니다.
3. 암호화 검증 시스템 : 이 모듈은 표준 타원 곡선 암호화를 사용하여 대상 공개 주소에 대해 후보 개인 키를 실시간으로 검증합니다. 이를 통해 유효한 키 쌍만 성공적인 복구로 식별되도록 보장합니다.
4. 블록체인 통합 레이어 : 이 도구는 비트코인 ​​네트워크 노드와 직접 연동하여 주소, 잔액 및 거래 내역을 검증하고, 취약한 지갑과 그 내용에 대한 상황 정보를 제공합니다.

이 도구의 작동 원리는  응용 암호 분석 에 기반을 두고 있으며 , 특히 키 생성 과정에서 엔트로피 부족으로 인해 발생하는 수학적 취약점을 표적으로 삼았습니다. ESP32 의사난수 생성기(PRNG) 결함의 정확한 특성을 이해함으로써 연구원들은 제한된 검색 공간을 효율적으로 탐색하는 알고리즘을 개발할 수 있었고, 일반적으로 불가능한 계산 작업을 실행 가능한 복구 작업으로 전환할 수 있었습니다.

JScanPrivKey: ECDSA 논스 재사용을 이용한 비트코인 ​​개인 키 복구

비트코인 거래에서 타원 곡선 디지털 서명 알고리즘(ECDSA)의 논스 재사용 취약점이 지속적으로 존재하는 것은 암호화폐 보안에 가장 심각한 위협 중 하나로 남아 있습니다. 본 논문은 고급 블록체인 포렌식 및 암호 분석 도구인 JScanPrivKey를 사용하여 취약한 비트코인 ​​서명을 탐지하고 논스 재사용 공격을 통해 노출된 개인 키를 복구하는 방법을 분석합니다. JScanPrivKey는 전 세계 비트코인 ​​원장을 체계적으로 스캔하여 취약한 서명을 찾아내고, 단 하나의 암호학적 결함이 어떻게 디지털 자산의 완전한 손실로 이어질 수 있는지 보여줍니다. 이 분석에서는 논스 기반 개인 키 복구의 수학적 기초, 도구의 포렌식 메커니즘, 그리고 비트코인 ​​생태계에 미치는 광범위한 보안 영향에 대해 살펴봅니다.

비트코인의 무결성은 거래를 안전하게 보호하는 강력한 암호화 메커니즘에 달려 있습니다. 그중에서도 가장 중요한 것은 타원 곡선 디지털 서명 알고리즘(ECDSA) 으로 , 이는 서명의 진위성을 보장하고 위조를 방지합니다. 그러나 구현 과정에서 논스(nonce)를 안전하게 생성하지 못하면 ECDSA의 안정성이 저하됩니다. 특히, 논스 재사용 이나 취약한 논스 생성 방식 은 공격자가 온체인 데이터에서 대수적 계산을 통해 개인 키를 직접 복구할 수 있게 하여 치명적인 결과를 초래할 수 있습니다.

JScanPrivKey는 개인 키 유출에 대한 포렌식 조사를 위한 블록체인 분석 도구로 설계되었지만, 그 기반 기술은 이러한 취약점의 파괴적인 잠재력을 여실히 보여줍니다. 이 도구는 ECDSA 서명의 패턴을 분석하여 취약한 키를 식별하고, 해당 키의 수학적 구조를 악용하여 비밀 키를 복원합니다.

암호학적 배경

개인 키 ddd를 사용하여 메시지 해시 zzz에 대한 ECDSA 서명을 생성하려면 논스 kkk를 선택한 다음 다음을 계산해야 합니다. r=(kG)xmod n,s=k−1(z+rd)mod nr = (kG)_x \mod n, \quad s = k^{-1}(z + rd) \mod nr=(kG)xmodn,s=k−1(z+rd)modn

만약 동일한 논스 kkk가 서로 다른 두 메시지에 재사용된다면, 다음 방정식을 통해 개인 키를 알 수 있습니다: d=s1z2−s2z1r(s2−s1)mod nd = \frac{s_1 z_2 – s_2 z_1}{r(s_2 – s_1)} \mod nd=r(s2−s1)s1z2−s2z1modn

이는 블록체인에서 스캔했을 때 rrr 값이 동일한 두 개의 공개 서명이 해당 개인 키를 직접 노출한다는 것을 의미합니다. JScanPrivKey는 이러한 경우를 자동으로 감지합니다.

JScanPrivKey 도구 작동 방식

JScanPrivKey는 블록체인 데이터를 지속적으로 수집하고 표적 암호 분석을 수행하는 방식으로 작동합니다.

• 서명 스캔 : 비트코인 ​​원장 전체의 거래 서명을 분석하여 rrr 매개변수의 의심스러운 반복을 감지합니다.
• 수학적 공격 : 중복된 키가 발견되면 대수적 복구 공식을 적용하여 개인 키를 즉시 계산합니다.
• 데이터베이스 상관관계 분석 : 유출된 키와 지갑 주소를 상호 연결하여 영향을 받은 자금의 위치를 ​​파악합니다.
• 지갑 복구 : 추출된 개인 키를 사용하면 분실된 지갑을 복구하여 포렌식 복구가 가능하지만, 악의적인 시나리오에서는 도난을 용이하게 할 수 있습니다.

이 도구의 강점은 방대한 비트코인 ​​데이터 세트를 자동으로 탐색하여 그렇지 않으면 숨겨져 있을 취약점을 식별하고 악용하는 능력에 있습니다.

비트코인에 미치는 실질적인 영향

논스 재사용 악용은 이론적인 문제가 아닙니다. 과거 블록체인 조사에 따르면 논스 상관관계를 이용해 공격자들이 수백만 달러 상당의 암호화폐를 빼돌린 사례가 여러 건 있습니다. JScanPrivKey와 같은 도구를 활용하는 공격자는 다음과 같은 작업을 수행할 수 있습니다.

• 정당한 소유자로서 즉시 거래에 서명하여 자금을 몰수하십시오 .
• 비트코인의 탈중앙화 약속에 대한 신뢰를 훼손합니다 .
• 초기 단계이거나 제대로 구현되지 않은 클라이언트의 지갑 보안을 약화시킵니다 .
• 유출된 개인 키가 여러 주소로 연쇄적으로 전파되어 대규모 포트폴리오 도난을 가능하게 합니다 .

법의학적 응용과 적대적 응용

JScanPrivKey는 분실된 지갑을 되찾거나 보안 감사를 수행하는 등 포렌식 복구를 합법적인 사용 사례로 고려하여 설계되었지만, 그 기본 방법론에는 이중 용도 문제가 존재합니다. 악의적인 사용자의 손에 들어가면 JScanPrivKey는 조사 도구에서 공격 프레임워크로 변질될 수 있습니다.

이러한 도구들의 존재는 윤리적인 암호 분석과 악의적인 악용 사이의 경계가 얼마나 모호한지를 보여줍니다. 비트코인은 익명성을 유지하기 때문에 이러한 공격의 주체를 파악하는 것이 사실상 불가능해지며, 이는 위험성을 더욱 증폭시킵니다.

완화 전략

JScanPrivKey가 악용하는 취약점으로부터 방어하기 위해서는 다음과 같은 조치가 필수적입니다.

• 결정론적 논스 생성 : 지갑 전반에 걸쳐 RFC 6979를 적용하여 k 값이 무작위적이거나 결함이 있는 값이 아닌 입력값의 고정 함수가 되도록 합니다.
• 암호화 감사 : 지갑 코드베이스 및 라이브러리에 대한 정기적인 감사를 통해 취약한 난수 생성 오류를 탐지합니다.
• 프로토콜 진화 : 논스 관련 위험을 줄이고 다중 서명 작업을 간소화하는 Schnorr 서명 (BIP-340)을 채택했습니다.
• 과거 키 감사 : nonce 유출 취약성을 확인하기 위해 과거 거래 내역을 지속적으로 재검증합니다.

결론

JScanPrivKey는 비트코인 ​​역사상 가장 심각한 암호화 결함 중 하나인 논스 재사용 공격을 드러냅니다 . 블록체인을 스캔하고 취약한 ECDSA 서명을 추출하여 개인 키를 유추하는 이 도구는 보안 프로토콜에서 의사 난수 생성 방식이 얼마나 취약한지를 보여줍니다. 이 도구는 비트코인의 암호화적 아킬레스건을 극명하게 상기시켜 줄 뿐만 아니라, 연구원과 개발자들이 결정론적 논스 생성 표준을 시행하고 라이브러리를 검증함으로써 미래의 재앙을 예방할 수 있는 수단을 제공합니다.

이 사례에서 얻을 수 있는 교훈은 명확합니다. 단 하나의 논스(nonce) 값을 실수로 재사용하는 것은 비트코인에 대한 신뢰의 기반을 위태롭게 합니다. JScanPrivKey는 이러한 취약점이 얼마나 치명적일 수 있는지에 대한 개념 증명과 실제 사례를 모두 제공합니다.

연구 논문: ECDSA nonce 재사용 취약점 및 효과적인 완화 방안

소개

타원곡선 디지털 서명 알고리즘(ECDSA)은 비트코인, 이더리움과 같은 최신 암호화폐 시스템에서 거래의 진위성을 보장하기 위해 널리 사용됩니다. ECDSA의 보안 강도는 알고리즘의 정확한 구현, 특히 논스(nonce) 생성 절차에 직접적으로 달려 있습니다. 이 부분의 오류는 공격자에게 개인 키를 노출시킬 수 있는 취약점으로 이어집니다  .

취약성은 어떻게 발생하는가?

문제의 근본 원인: 재사용 또는 부실한 nonce 생성

기존 ECDSA 구현에서는 각 서명에 대해 1부터 n-1 사이의 범위에서 임의의 값 k(nonce)를 선택해야 합니다. 만약 서로 다른 두 메시지가 동일한 k를 사용하여 서명되면 소위   nonce 재사용 공격이  발생합니다. 이 오류는 다음 두 가지 이유로 발생할 수 있습니다.

• 품질이 낮은 난수 생성기를 사용하는 것
• 소프트웨어에서의 비결정적이고 제어되지 않는 k-생성

ECDSA 서명은 두 개의 숫자 (r,s)로 구성됩니다. s=k−1(z+rd)mod ns = k^{-1}(z + rd) \mod ns=k−1(z+rd)modn

어디:

• zzz는 메시지 해시입니다.
• ddd는 개인 키입니다.
• kkk — 노슨,
• nnn은 그룹의 차수입니다.

만약 동일한 k 값이 서로 다른 두 메시지 m1m_1m1과 m2m_2m2에 사용되는 경우:{s1=k−1(z1+rd)mod ns2=k−1(z2+rd)mod n\begin{cases} s_1 = k^{-1}(z_1 + rd) \mod n \\ s_2 = k^{-1}(z_2 + rd) \mod n \end{cases}{s1=k−1(z1+rd)mod ns2=k−1(z2+rd)mod n

서로 다른 두 개의 (r,s1,z1)(r, s_1, z_1)(r,s1,z1) 및 (r,s2,z2)(r, s_2, z_2)(r,s2,z2)가 주어졌을 때, 공격자는 개인 키 ddd를 다음과 같이 계산할 수 있습니다: d=(s1z2−s2z1)(r(s2−s1))mod nd = \frac{(s_1 z_2 — s_2 z_1)}{(r(s_2 — s_1))} \mod nd=(r(s2−s1))(s1z2−s2z1)modn

이는 전체 암호화 시스템의 즉각적인 손상으로 이어집니다.  research.kudelskisecurity+2

실제 착취 사례

개인 키 유출을 이용한 공격은 블록체인(비트코인, 이더리움), 하드웨어(소니 PS3), 서버 애플리케이션(Java CVE-2022-21449) 등에서 보고되었습니다.  arxiv+2
취약한 구현으로 인해 이 방법을 통해 수많은 지갑 주소가 손상된 것으로 확인되었습니다.  notsosecure+1

취약점에 대한 안전한 패치

RFC6979에 따른 결정론적 논스 생성

이 취약점을 완화하는 가장 좋은 방법은   RFC 6979에 따라 결정론적 논스 생성을 구현하는 것입니다. 이 경우 k는 더 이상 무작위로 선택되지 않고 메시지 해시와 개인 키의 함수로 결정론적으로 생성됩니다. 이는 각 메시지에 대해 k 가   고유하고 예측 불가능하도록 보장합니다. 

RFC6979의 장점:

• nonce는 서로 다른 메시지에 대해 반복되지 않습니다.
• 운영상의 무작위성 요인에 대한 의존성 부족;
• 기존 구현 및 라이브러리와의 호환성.

Safe Go 코드 예제

다음은 RFC6979를 사용하여 k-반복 취약점을 제거하는 안전한 결정론적 ECDSA 서명 생성을 구현한 Go 코드 조각입니다.

가다:

import (
    "crypto/ecdsa"
    "crypto/sha256"
    "github.com/apisit/rfc6979"
    "math/big"
)

// Безопасная подпись сообщения
func SignRFC6979(priv *ecdsa.PrivateKey, msg []byte) (r, s *big.Int, err error) {
    hash := sha256.Sum256(msg)
    r, s, err = rfc6979.SignECDSA(priv, hash[:])
    return
}

실행 사례:

• RFC6979를 구현하는 라이브러리만 사용하십시오.
• 서명은 항상 보안 함수를 통해 생성하고, k 값을 수동으로 지정하지 마십시오.
• 암호화 구성 요소가 RFC6979 표준을 준수하는지 정기적으로 감사하십시오.
• 시스템을 업데이트할 때, 난수 k가 이전 버전의 코드에 유출되지 않았는지 확인하십시오.

결론

RFC 6979를 구현하고 k의 난수 생성을 완전히 제거함으로써 Nonce 재사용 문제를 해결하고 개인 키 유출 공격을 방지할 수 있습니다. 제시된 코드를 사용하면 높은 암호학적 강도를 보장하고 블록체인 시스템과 암호화폐 지갑을 침해로부터 보호하며 향후 이러한 유형의 공격을 불가능하게 만듭니다.

ECDSA를 사용하는 모든 개발자는 즉시 결정론적 생성으로 전환하고 적절한 보안 감사를 구현하는 것이 좋습니다.  pkg.go+2

최종 과학적 결론

ECDSA 알고리즘에서 발생하는 논스(nonce) 재사용이라는 치명적인 암호화 취약점은 비트코인 ​​생태계 보안의 진정한 아킬레스건으로 드러났습니다. 두 개의 디지털 서명에서 동일한 논스가 단 하나라도 발견되면 공격자는 피해자의 개인 키를 추론하여 지갑 전체를 노출시키고 자금에 대한 완전한 통제권을 확보할 수 있습니다. 이러한 현상은 과학적으로   논스 재사용 공격   또는   논스 재사용을 통한 개인 키 복구 라고 알려져 있습니다  .

이 공격은 비트코인 ​​암호화 시스템을 완전히 무력화시켰습니다. 수백 개의 주소에서 공격이 감지되었고, 수백만 달러가 도난당했으며, 암호화폐의 신뢰도가 심각하게 손상되었습니다. 공격 방식은 블록체인을 스캔하여 취약한 서명을 찾아내고, 개인 키를 즉시 계산하여 관리 자산을 돌이킬 수 없게 만드는 것입니다.

비트코인의 역사는 논스 생성 절차에 대한 엄격한 통제와 검증 없이는 시스템의 신뢰성을 확보할 수 없다는 것을 명확히 보여주었습니다. RFC6979 표준에 따른 결정론적 논스 생성으로의 전환, 모든 구성 요소에 대한 감사, 그리고 시대에 뒤떨어진 구현 방식의 폐기만이 암호화 무결성을 보장하고 디지털 화폐 역사상 가장 파괴적인 공격으로부터 보호할 수 있습니다  .

논스 재사용 공격은 단순한 기술적 취약점이 아닙니다. 이는 비트코인의 신뢰와 보안의 근간을 흔드는 심각한 위협이며, 수년간의 디지털 발전을 한순간에 무너뜨릴 수 있습니다.

1. https://strm.sh/studies/bitcoin-nonce-reuse-attack/
2. https://notsosecure.com/ecdsa-nonce-reuse-attack
3. https://arxiv.org/pdf/2504.07265.pdf
4. https://research.kudelskisecurity.com/2023/03/06/polynonce-a-tale-of-a-novel-ecdsa-attack-and-bitcoin-tears/
5. https://christian-rossow.de/publications/btcsteal-raid2018.pdf
6. https://publications.cispa.de/articles/conference_contribution/Identifying_Key_Leakage_of_Bitcoin_Users/24612726
7. https://www.reddit.com/r/Bitcoin/comments/1j24hh3/nonce_r_reuse_and_bitcoin_private_key_security_a/
8. https://arxiv.org/html/2504.13737v1
9. https://github.com/pcaversaccio/ecdsa-nonce-reuse-attack

1. https://notsosecure.com/ecdsa-nonce-reuse-attack
2. https://research.kudelskisecurity.com/2023/03/06/polynonce-a-tale-of-a-novel-ecdsa-attack-and-bitcoin-tears/
3. https://arxiv.org/html/2504.13737v1
4. https://www.rfc-editor.org/rfc/rfc6979.html
5. https://datatracker.ietf.org/doc/html/rfc6979
6. https://www.hjp.at/doc/rfc/rfc6979.html
7. https://pkg.go.dev/github.com/apisit/rfc6979
8. https://summerschool-croatia.cs.ru.nl/2023/slides/Jan_slides.pdf
9. https://stackoverflow.com/questions/49825455/ecdsa-signature-java-vs-go
10. https://www.geeksforgeeks.org/computer-networks/blockchain-elliptic-curve-digital-signature-algorithm-ecdsa/
11. https://pkg.go.dev/crypto/ecdsa
12. https://gist.github.com/LukaGiorgadze/85b9e09d2008a03adfdfd5eea5964f93
13. https://paulmillr.com/posts/deterministic-signatures/
14. https://pkg.go.dev/github.com/consensys/gnark/std/signature/ecdsa
15. https://www.tech-invite.com/y65/tinv-ietf-rfc-6979.html
16. https://djangocas.dev/blog/ecdsa-signature-verify-in-kotlin-and-go/
17. https://bitcointalk.org/index.php?topic=5296878.0
18. https://www.1kosmos.com/security-glossary/elliptic-curve-digital-signature-algorithm-ecdsa/

1. https://notsosecure.com/ecdsa-nonce-reuse-attack
2. https://www.cryptomathic.com/blog/explaining-the-java-ecdsa-critical-vulnerability
3. https://www.reddit.com/r/crypto/comments/1k0x8vk/whats_the_minimal_size_of_a_nonce_leakage_so_that/
4. https://www.reddit.com/r/Bitcoin/comments/1j24hh3/nonce_r_reuse_and_bitcoin_private_key_security_a/
5. https://www.incibe.es/en/incibe-cert/publications/cybersecurity-highlights/cryptographic-flaw-ecdsa-implementation-java
6. https://keyhunters.ru/critical-vulnerability-in-secp256k1-private-key-verification-and-invalid-key-threat-a-dangerous-attack-on-bitcoin-cryptocurrency-security-vulnerability-in-bitcoin-spring-boot-starter-library/
7. https://strm.sh/studies/bitcoin-nonce-reuse-attack/
8. https://github.com/elikaski/ECC_Attacks
9. https://www.gitguardian.com/remediation/elliptic-curve-private-key
10. https://github.com/kudelskisecurity/ecdsa-polynomial-nonce-recurrence-attack
11. https://dev.to/rafalw3bcraft/cryptographic-implementation-flaws-modern-encryption-analysis-2jjj
12. https://keyhunters.ru/ecdsa-private-key-recovery-attack-via-nonce-reuse-also-known-as-weak-randomness-attack-on-ecdsa-critical-vulnerability-in-deterministic-nonce-generation-rfc-6979-a-dangerous-nonce-reuse-attack/
13. https://arxiv.org/html/2504.07265v1
14. https://github.com/pcaversaccio/ecdsa-nonce-reuse-attack
15. https://security.snyk.io/package/pip/ecdsa/0.19.1
16. https://arxiv.org/html/2504.13737v1
17. https://attacksafe.ru/ecdsa-java/
18. https://nvd.nist.gov/vuln/detail/cve-2024-23342
19. https://www.opencve.io/cve?vendor=tlsfuzzer&product=ecdsa
20. https://www.feistyduck.com/newsletter/issue_88_two_zeros_bypass_javas_ecdsa_signature_check
21. https://www.coinfabrik.com/wp-content/uploads/2016/06/ECDSA-Security-in-Bitcoin-and-Ethereum-a-Research-Survey.pdf
22. https://www.reddit.com/r/BitcoinBeginners/comments/13ojfr1/safecurves_tagged_secp256k1_as_not_meeting_all/
23. https://hardenedvault.net/blog/2024-10-12-survey-oss-tls-rfc6979/
24. https://forklog.com/en/what-is-ecdsa-in-bitcoin/
25. https://cure53.de/pentest-report_noble-lib.pdf
26. https://datatracker.ietf.org/doc/html/rfc6979
27. https://zenodo.org/records/11277691
28. https://pkg.go.dev/github.com/btcsuite/btcd/btcec
29. https://news.ycombinator.com/item?id=40045950
30. https://www.semanticscholars.org/paper/Secure-Implementation-of-ECDSA-Signatures-in-Wang/13e1c18ae8724d11a1261e2ba575fdd2a94c23da
31. https://github.com/bitcoin-core/secp256k1
32. https://paulmillr.com/posts/deterministic-signatures/
33. https://www.frontiersin.org/journals/blockchain/articles/10.3389/fbloc.2025.1495984/full
34. https://stackoverflow.com/questions/77264688/which-method-is-used-for-verifying-secp256k1-signatures-in-gos-btcec-library
35. http://www.hjp.at/(de)/doc/rfc/rfc6979.html
36. https://dl.acm.org/doi/10.1145/3659677.3659714
37. https://www.nobsbitcoin.com/the-curious-case-of-the-half-half-bitcoin-ecdsa-nonces/
38. https://arxiv.org/html/2508.01280v1

문헌 및 참고자료

• RFC6979, IETF  데이터트래커.ietf
• 폴리논스 공격 연구  research.kudelskisecurity
• CVE-2024-31497  그린본+1
• 비트코인 사용자 간 키 유출 탐지 방법 (  publications.cispa)
• BIP62(비트코인 개선 제안)  키헌터

1. https://keyhunters.ru/ecdsa-private-key-recovery-attack-via-nonce-reuse-also-known-as-weak-randomness-attack-on-ecdsa-critical-vulnerability-in-deterministic-nonce-generation-rfc-6979-a-dangerous-nonce-reuse-attack/
2. https://keyhunters.ru/nonce-reuse-attack-critical-vulnerability-in-schnorr-signatures-implementation-threat-of-private-key-disclosure-and-nonce-reuse-attack-in-bitcoin-network/
3. https://www.greenbone.net/en/blog/cve-2024-31497-putty-forfeits-client-ecdsa-private-keys/
4. https://nvd.nist.gov/vuln/detail/cve-2024-31497
5. https://research.kudelskisecurity.com/2023/03/06/polynonce-a-tale-of-a-novel-ecdsa-attack-and-bitcoin-tears/
6. https://dl.acm.org/doi/full/10.1145/3596906
7. https://arxiv.org/html/2504.13737v1
8. https://publications.cispa.de/articles/conference_contribution/Identifying_Key_Leakage_of_Bitcoin_Users/24612726
9. https://datatracker.ietf.org/doc/html/rfc6979
10. https://github.com/kudelskisecurity/ecdsa-polynomial-nonce-recurrence-attack
11. https://notsosecure.com/ecdsa-nonce-reuse-attack
12. https://fenefx.com/en/blog/what-is-nonce/
13. https://www.lrqa.com/en/cyber-labs/flaw-in-putty-p-521-ecdsa-signature-generation-leaks-ssh-private-keys/
14. https://www.vicarius.io/vsociety/posts/understanding-a-critical-vulnerability-in-putty-biased-ecdsa-nonce-generation-revealing-nist-p-521-private-keys-cve-2024-31497
15. https://www.investopedia.com/terms/n/nonce.asp
16. https://nvd.nist.gov/vuln/detail/CVE-2024-13176
17. https://arxiv.org/html/2404.18090v1
18. https://github.com/advisories/GHSA-vjh7-7g9h-fjfh
19. https://xrpl.org/blog/2019/statement-on-the-biased-nonce-sense-paper
20. https://academy.bit2me.com/en/what-is-nonce-blinding-protocol/
21. https://my.f5.com/manage/s/article/K000150784

 암호해독