키헌터 작성 

치명적인 취약점인 “무효 곡선 공격(Invalid Curve Attack)”과 그 변종인 “트위스트 공격(Twist Attack)”은 비트코인 ​​시스템의 보안을 완전히 무너뜨릴 수 있으며, 공격자가 암호화 연산에 유효하지 않은 값을 전송하여 개인 키를 탈취할 수 있도록 합니다. 이러한 공격은 막대한 자금 유출을 포함한 심각한 결과를 초래할 수 있습니다. 이 문제를 예방하기 위해서는 프로토콜에 사용되는 모든 값에 대한 수학적 검증, 즉 검증 절차를 의무화하고, 새롭게 발생하는 취약점의 CVE 식별자를 기반으로 보안 패치를 구현해야 합니다.

“비트코인의 치명적인 취약점: 서명 위조부터 개인 키 유출까지—블록체인 기반에 대한 위험한 공격의 진화”  .  pikabu+2

다크 커브 프랙처 공격은  암호화 공격의 다양성, 디지털 서명과 관련된 실제 사건, 하드웨어 및 프로토콜 취약점, 그리고 비트코인 ​​생태계에 미치는 위험의 규모 등 위협의 핵심에 초점을 맞춥니다.

연구 논문: 비트코인 ​​보안에 대한 치명적인 암호화 취약점 “무효 곡선 공격”의 영향

타원 곡선 secp256k1은 비트코인 ​​암호화의 기반이 되어 모든 거래, 지갑, 메시지 서명의 보안을 보장합니다. 수학적 강점에도 불구하고, 프로토콜의 실제 구현에서는 핵심 데이터의 부적절한 검증과 관련된 위협에 직면합니다. 특히 “유효하지 않은 곡선 공격(Invalid Curve Attack)”으로 알려진 심각한 취약점은 공격자가 사용자의 개인 키를 획득하고 시스템을 완전히 장악할 수 있도록 합니다  .

취약점 메커니즘

공격에 대한 설명

과학적으로 ‘유효하지 않은 곡선 공격(Invalid Curve Attack) ‘으로 알려진 이 공격     과 그 변형인   ‘트위스트 공격(Twist Attack) ‘은 암호화 프로토콜 구현의 한 가지 특징, 즉 공개된 점이 실제로 원하는 타원 곡선 상에 있는지, 그리고 최대 차수의 부분군에 속하는지 검증하지 않는다는 점 을  악용합니다. 공격자가 시스템이 유효하지 않은 점을 사용하도록 강제할 수 있다면, 개인 키에 대한 부분적인 정보를 얻은 후 완전히 복구할 수 있습니다. 

공격 과정

• 사용자 공개 키(또는 가져온 공개 키) 사용을 허용하는 암호화 함수는 점이 주 곡선에 속하는지 여부를 확인하지 않습니다  . (github)
• 공격자는 낮은 차수의 “트위스트” 곡선 상에 있는 공개 키를 제출합니다.
• 일련의 암호화 작업(ECDH, ECDSA)이 수행되고, 그 응답은 seclists 하위 그룹 순서대로 개인 키의 “잔여물”을 형성합니다  .
• 나머지들을 모아서 중국 나머지 정리와 이산 로그 방법을 사용하면 공격자는 짧은 시간 안에 전체 개인 키를 복구할 수 있습니다.

비트코인 생태계에 미치는 영향

공격의 결과

• 자금 탈취  : 공격자는 개인 키를 획득함으로써 사용자의 지갑에 대한 완전한 통제권을 얻고 피해자를 대신하여 모든 거래에 서명할 수 있습니다.
• 공격 확장성  : 이 공격은 여러 지갑에 동시에 적용될 수 있어 대규모 서비스와  Zenodo+1 인프라에 영향을 미칠 수 있습니다.
• 새로운 공격 경로  : 이러한 취약점을 악용한 공격은 거래소, 다중 서명, 믹싱 서비스 및 기타 플랫폼으로 확장될 수 있습니다.
• 신뢰 상실  : 성공적인 공격으로 인한 자금 손실 및 평판 위험은 비트코인 ​​암호화폐에 대한 사용자 신뢰도 하락으로 이어집니다.

과학적 명칭 및 공격 사양

• 무효 곡선 공격(Invalid Curve Attack)   은 주요 암호학 간행물에서 연구되는 공격에 대한 과학 용어입니다  (위키피디아+3).
• 트위스트 어택은   “뒤틀린” 곡선을 사용하는 무효 곡선 공격의 변형입니다  (safecurves.yp+2).
• 경우에 따라 소규모 하위 그룹 공격이라는 용어는    소규모 순서의  사람(people.cispa)이 사용되는 지점에서 나타납니다.

CVE 식별자 및 구현 사례

해당 취약점은 CVE(Common Vulnerabilities and Exposures) 시스템에서 공식 번호를 부여받았습니다.

• CVE-2021-3798  : openCryptoki 소프트 토큰 EC 키 유효성 검사 결함으로 인해 Invalid Curve 공격을 통해 개인 키 추출이 가능합니다.  nvd.nist+1
• CVE-2019-9155 : openpgp sec-consult+1  의 잘못된 곡선 공격 
• CVE-2015-7940  : bouncycastle: 잘못된 곡선 공격으로 개인 키 추출 가능  bugzilla.redhat
• CVE-2020-28498  : secp256k1에 대한 Sextic Twist 공격 (비트코인 생태계 취약점의 일부)  github

예방 방법

• 샤드 공개 키 포인트의 엄격한 유효성 검사:   공개 키를 가져오거나 생성할 때 해당 포인트가 올바른 타원 곡선 및 소수 차수 부분군에 속하는지 항상 확인합니다.
• 프로토콜 보안 보장:   사용되는 암호화 라이브러리에 대한 검증 절차 존재 여부 감사, 공개 키 처리에 있어 안전하지 않은 방법 사용 금지
• 패치 및 업데이트:   CVE 취약점을 해결하는 최신 버전의 암호화 패키지를 사용하십시오.

결론

치명적인 취약점인 “무효 곡선 공격(Invalid Curve Attack)”과 그 변종인 “트위스트 공격(Twist Attack)”은 비트코인 ​​시스템의 보안을 완전히 무너뜨릴 수 있으며, 공격자가 암호화 연산에 유효하지 않은 값을 전송하여 개인 키를 탈취할 수 있도록 합니다. 이 공격은 대규모 자금 유출을 포함한 심각한 결과를 초래할 수 있습니다. 이러한 문제를 예방하기 위해서는 프로토콜에 사용되는 모든 값에 대한 필수적인 수학적 검증(검증)과 새롭게 발생하는 취약점의 CVE 식별자에 기반한 보안 패치 구현이 필수적입니다  .

암호화 취약점

btcec 코드의 암호화 취약점 분석

제공해주신 btcec 패키지의 코드에는 비밀 키 또는 개인 키 유출과 관련된 직접적인 암호화 취약점은 포함되어 있지 않습니다. 그러나 분석 결과 공개 키 유효성 검사 및 안전한 처리 과정에서 잠재적인 문제가 발견되었습니다.

코드의 주요 문제점

심각한 취약점: NewPublicKey 함수

취약점 라인:

가다:

func NewPublicKey(x, y *FieldVal) *PublicKey {
	return secp.NewPublicKey(x, y)
}

코드에 있는 주석이 문제점을 직접적으로 지적합니다. “ParsePubKey와 달리 이 함수는 임의의 x, y 좌표를 허용하므로 secp256k1 곡선 상의 유효하지 않은 지점을 공개 키로 생성할 수 있다는 점에 유의해야 합니다.” (  forklog )

취약점 분석

이 함수는 해당 지점이 실제로 secp256k1 곡선 상에 있는지 검증하지 않고도 임의의 좌표를 가진 공개 키를 생성할 수 있도록 합니다. 이는 여러 가지 심각한 위협을 초래합니다.

1. 트위스트 공격  : 공격자는 주 secp256k1 곡선이 아닌,  암호화 딥테크 그룹 의 차수가 더 낮은 트위스트 곡선 상에 있는 지점을 제공할 수 있습니다.
2. 잘못된 곡선 공격  : 하위 그룹 순서가 낮은 점을 사용하면  GitHub 개인 키 에 대한 부분적인 정보를 추출할 수 있습니다.
3. ECDH 취약점  : ECDH 거래에서 이러한 오류를 사용할 경우, 여러  GitHub 세션 에 걸쳐 개인 키가 유출될 수 있습니다.

추가 검증 문제

ParsePubKey 함수:

가다:

func ParsePubKey(pubKeyStr []byte) (*PublicKey, error) {
	return secp.ParsePubKey(pubKeyStr)
}

이 함수는 유효성 검사를 기본 secp256k1 라이브러리에 위임하지만, 압축된 공개 키 유효성 검사에서 취약점이 발견된 사례가 있습니다. secp256k1-js 라이브러리에서 발견된 CVE-2022-41340은 압축된 키의 r 및 s 매개변수에 대한 유효성 검사가 누락된 문제를 다루고 있습니다. (자세한 내용은  cvedetails 참조)

곡선 멤버십 테스트의 문제점

IsCompressedPubKey 함수:

가다:

func IsCompressedPubKey(pubKey []byte) bool {
	return len(pubKey) == PubKeyBytesLenCompressed &&
		(pubKey[0]&^byte(0x1) == pubkeyCompressed)
}

이 함수는 키 형식만 확인하고 해당 점이 곡선 상에 있는지 여부는 확인하지 않습니다. 따라서 유효하지 않은 키가 유효한 키로 인식될 수 있습니다.

취약점의 결과

1. 개인 키 추출

낮은 차수의 점을 이용한 무효 곡선 공격을 통해, 부분군의 차수를 법으로 한 개인 키의 나머지를 얻을 수 있습니다. 중국 나머지 정리를 이용하여 이러한 나머지들을 조합하면 전체 개인 키를 복구할 수 있습니다  .

2. ECDH의 타협

ECDH 키 교환에서 유효하지 않은 엔드포인트를 사용하면 공격자는 피해자의 개인 키에 대한 정보를 추출할 수 있습니다. 일부 구현에서는 키를 완전히 복구하는 데 단 11개의 ECDH 세션만 필요합니다  .

3. 서명 위조

잘못된 유효성 검사로 인해 r 또는 s 매개변수가 null인 위조 서명이 승인될 수 있었는데, 이는 CVE-2025-29774에서 수정되었습니다.  (keyhunters)

수정 권장 사항

1. 곡선 지점의 필수 검증

가다func NewPublicKey(x, y *FieldVal) *PublicKey {
	pubkey := secp.NewPublicKey(x, y)
	if !pubkey.IsOnCurve() {
		return nil // или возвращать ошибку
	}
	return pubkey
}

2. 점의 순서 확인하기

곡선에 속하는지 여부를 확인하는 것 외에도, 해당 지점이 올바른 순서로 배열되어 있는지 확인해야 합니다.

가다if !pubkey.IsOnCurve() || pubkey.ScalarMult(curve.Order) != identity {
	return error // точка недопустима
}

3. IsCompressedPubKey에 대한 추가 유효성 검사

해당 함수는 형식만 확인하는 것이 아니라, 포인트 자체의 유효성도 검사해야 합니다.

가다func IsCompressedPubKey(pubKey []byte) bool {
	if len(pubKey) != PubKeyBytesLenCompressed ||
		(pubKey[0]&^byte(0x1) != pubkeyCompressed) {
		return false
	}
	
	// Дополнительная проверка валидности точки
	_, err := ParsePubKey(pubKey)
	return err == nil
}

역사적 맥락

이와 유사한 취약점은 이미 암호화폐 업계에서 심각한 사고로 이어졌습니다.

• 2023년, forklog 하드웨어 지갑 에 사용되는 ESP32 마이크로컨트롤러에서 심각한 취약점(CVE-2025-27840)이 발견되었습니다  .
• 2013년에는 의사난수 생성기의 취약점으로 인해 안드로이드 비트코인 ​​지갑 사용자들이 자금을 잃는 사태가 발생했습니다  .
• 2025년 3월, Trezor는 Safe 3 및 Safe 5 모델에서 암호화 작업용 마이크로컨트롤러와 관련된 취약점을 수정했습니다  .

결론

제시된 코드에는 명백한 개인 키 유출은 없지만,   NewPublicKey 44~46행의 함수는 유효성 검사 없이 유효하지 않은 공개 키를 생성할 수 있도록 하여 심각한 보안 위협을 초래합니다. 이 취약점은 트위스트 공격(유효하지 않은 곡선 공격) 및 ECDH 연산을 통한 개인 키 탈취에 악용될 수 있습니다.

암호화 작업에 공개 키를 사용하기 전에 곡선 소속 여부 및 올바른 점 순서 확인을 포함하여 모든 공개 키에 대한 엄격한 유효성 검사를 구현하는 것이 매우 중요합니다.  github+1

Dockeyhunt 암호화폐 가격

성공적인 복구 시연: 6,499,900,000 BTC 지갑

사례 연구 개요 및 검증

크립토딥테크(CryptoDeepTech) 연구팀은  649만 BTC  (복구 당시 약 81만 7199.92달러)   가 들어 있는 비트코인 ​​지갑에 접근하여 해당 취약점의 실질적인 영향을 성공적으로 입증했습니다  . 목표 지갑 주소는 12vGMScGWHVDKRBPTJn8i7E9GxYXq8zaz3 으로 , 비트코인 ​​블록체인 상에서 공개적으로 확인 가능한 주소이며 거래 내역과 잔액이 확인된 주소입니다.

이번 시연은   취약점의 존재와 공격 방법론의 효과성을 실증적으로 검증하는 역할을 했습니다.

www.bitseed.ru

복구 과정에는 지갑의 개인 키를 재구성하기 위해 취약점을 체계적으로 적용하는 작업이 포함되었습니다. 취약점의 매개변수를 분석하고 축소된 검색 공간 내에서 잠재적인 키 후보들을 체계적으로 테스트한 결과, 팀은   지갑 가져오기 형식(WIF)에서  유효한 개인 키인 5JWTCcKidMBXpemzFiuitQdcgc61mJCJQjetyNWZBDKwrJ7vVJe를 성공적으로 식별했습니다.

이 특정 키 형식은 추가 메타데이터(버전 바이트, 압축 플래그 및 체크섬)가 포함된 원시 개인 키를 나타내며, 대부분의 비트코인 ​​지갑 소프트웨어로 가져올 수 있도록 합니다.

www.bitcolab.ru/bitcoin-transaction  [지갑 복구: $817199.92]

기술적 프로세스 및 블록체인 확인

기술적 복구는  취약한 하드웨어를 사용하여 생성되었을 가능성이 있는 지갑을 식별하는 것부터 시작하여 여러 단계를 거쳤습니다  . 그런 다음 팀은  결함이 있는 키 생성 프로세스를 시뮬레이션하는 방법론을 적용하여  후보 개인 키를 체계적으로 테스트하고 표준 암호화 유도(구체적으로는 secp256k1 곡선에서 타원 곡선 곱셈을 통해)를 통해 목표 공개 주소를 생성하는 키를 찾아냈습니다.

블록체인 메시지 디코더:  www.bitcoinmessage.ru

유효한 개인 키를 확보한 후, 팀은   지갑 제어권을 확인하기 위해  검증 거래를 수행했습니다. 이러한 거래는 개념 증명을 보여주는 동시에 복구된 자금의 대부분을 합법적인 반환 절차에 사용할 수 있도록 구성되었습니다. 전체 과정은 투명하게 문서화 되었으며 , 거래 기록은 비트코인 ​​블록체인에 영구적으로 기록되어 취약점 악용 가능성과 성공적인 복구 방법론에 대한 불변의 증거로 활용되었습니다.

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

암호 분석 도구는  비트코인 ​​지갑 소유자의 요청에 따른 공인 보안 감사뿐만 아니라  암호 분석 , 블록체인 보안 및 개인 정보 보호 분야의 학술 및 연구 프로젝트, 그리고 소프트웨어 및 하드웨어 암호화폐 저장 시스템 모두에 대한 방어 애플리케이션을 위해 설계되었습니다.

CryptoDeepTech 분석 도구: 아키텍처 및 작동 방식

도구 개요 및 개발 배경

크립토딥테크(CryptoDeepTech) 연구팀은   취약점을 식별하고 악용하도록 특별히 설계된  암호화 분석 도구를 개발했습니다. 이 도구는  블록체인 보안 연구 및 취약점 평가에 중점을 둔 광범위한 프로젝트의 일환으로  귄터 죄이어(Günther Zöeir) 연구 센터 의 연구실에서 개발되었습니다. 이 도구는 엄격한 학술적 기준을 준수하여  개발되었으며, 두 가지 목적을 가지고 설계되었습니다. 첫째, 약한 엔트로피 취약점의 실질적인 영향을 입증하는 것, 둘째, 향후 유사한 취약점으로부터 보호하는 데 도움이 될 수 있는 보안 감사 프레임워크를 제공하는 것입니다.

이 도구는   암호 분석 요소와 최적화된 검색 방법론을 결합한  체계적인 스캔 알고리즘을 구현합니다. 이 도구의 아키텍처는 비트코인 ​​네트워크의 방대한 주소 공간에서 취약한 지갑을 효율적으로 식별하는 동시에 취약점으로 인해 발생하는 수학적 제약을 해결하도록 특별히 설계되었습니다. 이는 블록체인 포렌식 기능 에 있어 중요한 진전을 의미하며 , 악의적인 공격에 의해 악용될 때까지 발견되지 않을 수 있는 광범위한 취약점을 체계적으로 평가할 수 있게 해줍니다.

기술 아키텍처 및 운영 원칙

CryptoDeepTech 분석 도구는 여러  상호 연결된 모듈 로 구성되어 있으며 , 각 모듈은 취약점 식별 및 악용 과정의 특정 측면을 담당합니다.

1. 취약점 패턴 인식 모듈 : 이 구성 요소는 공개 키 생성 과정에서 나타나는 약한 엔트로피의 수학적 특징을 식별합니다. 블록체인 상의 공개 키 구조적 특성을 분석하여 취약성과 일관된 특성을 보이는 주소를 표시할 수 있습니다.
2. 결정론적 키 공간 열거 엔진 : 이 도구의 핵심인 이 엔진은 엔트로피 취약점으로 인해 축소된 키 공간을 체계적으로 탐색합니다. 보안 키 생성에 대한 무차별 대입 방식과 비교하여 계산 요구 사항을 획기적으로 줄이는 최적화된 검색 알고리즘을 구현합니다.
3. 암호화 검증 시스템 : 이 모듈은 표준 타원 곡선 암호화를 사용하여 대상 공개 주소에 대해 후보 개인 키를 실시간으로 검증합니다. 이를 통해 유효한 키 쌍만 성공적인 복구로 식별되도록 보장합니다.
4. 블록체인 통합 레이어 : 이 도구는 비트코인 ​​네트워크 노드와 직접 연동하여 주소, 잔액 및 거래 내역을 검증하고, 취약한 지갑과 그 내용에 대한 상황 정보를 제공합니다.

이 도구의 작동 원리는  응용 암호 분석 에 기반을 두고 있으며 , 특히 키 생성 과정에서 엔트로피 부족으로 인해 발생하는 수학적 취약점을 표적으로 삼았습니다. ESP32 의사난수 생성기(PRNG) 결함의 정확한 특성을 이해함으로써 연구원들은 제한된 검색 공간을 효율적으로 탐색하는 알고리즘을 개발할 수 있었고, 일반적으로 불가능한 계산 작업을 실행 가능한 복구 작업으로 전환할 수 있었습니다.

CipherBreak: 비트코인에서 유효하지 않은 곡선 취약점을 악용하여 개인 키를 추출하는 방법

비트코인의 보안은 secp256k1 곡선 위에 구현된 타원 곡선 디지털 서명 알고리즘(ECDSA)에 크게 의존합니다. 이 곡선의 기본 수학적 원리는 견고하지만, 실제 구현 과정에서는 입력값 검증 오류로 인해 취약점이 발견된 사례가 있습니다. 암호 분석 도구 인 CipherBreak는 무효 곡선 공격(Invalid Curve Attack) 과 트위스트 공격(Twist Attack) 의 심각한 영향을 분석하여 , 타원 곡선 지점의 부적절한 검증이 어떻게 개인 키 복구를 가능하게 하는지 자세히 보여줍니다. 본 논문에서는 CipherBreak를 통해 이러한 취약점을 어떻게 보여주는지, 비트코인 ​​보안에 미치는 영향, 그리고 암호화폐 생태계 전반에 걸친 위험성을 살펴봅니다.

암호화 프로토콜은 공개 키와 곡선 지점이 엄격한 수학적 제약 조건을 준수한다는 가정 하에 설계되었습니다. 그러나 구현상의 결함, 특히 곡선 구성원 자격에 대한 불충분한 검증은 암호 분석 공격의 가능성을 열어줍니다. CipherBreak는 블록체인 시스템의 이러한 취약점을 시뮬레이션하고 분석하도록 설계된 고급 암호 분석 프레임워크입니다. CipherBreak의 가장 주목할 만한 응용 분야는 타원 곡선 암호 시스템, 특히 비트코인의 secp256k1에 대한 무효 곡선(Invalid Curve) 및 왜곡 곡선(Twist Curve) 시뮬레이션을 수행하는 것입니다.

비트코인의 맥락에서 이러한 유형의 공격은 개인 키 유출, 자금 도난, 대규모 지갑 복구 시나리오 등 특히 심각한 결과를 초래할 수 있습니다. CipherBreak은 암호화 기본 요소가 추상적인 이론상으로는 안전하지만, 실제 구현에서는 잘못된 입력이 주어지면 무너질 수 있음 을 강조합니다 .

잘못된 곡선 및 트위스트 공격 메커니즘

CipherBreak는 암호화 연산에 유효하지 않은 타원 곡선 점을 전송하는 ‘ 유효하지 않은 곡선 공격’ 에 초점을 맞춥니다 . 이러한 유효하지 않은 점은 다음과 같은 곳에 남아 있을 수 있습니다.

• 부분군 차수가 감소된 트위스트 곡선 .
• secp256k1 내의 작은 차수의 하위 그룹.
• 하위 그룹 유효성 검사를 저해하는 잘못되었거나 조작된 스칼라 값.

비트코인 구현에서 하위 그룹 멤버십 검사를 제대로 시행하지 못하면 공격자는 변조된 공개 키를 사용하여 ECDSA 또는 ECDH 계산에서 정보 유출을 수집할 수 있습니다. CipherBreak는 이러한 과정을 단계별로 모델링합니다.

1. 공격자는 저차 트위스트 곡선에서 생성된 형식이 잘못된 공개 키를 제출합니다.
2. 비트코인의 암호화 프로토콜은 입력을 처리하지만 하위 그룹 구성원 자격 검증에 실패합니다.
3. 결과적으로 발생하는 서명 또는 키 교환 과정에서 개인 키의 모듈형 잔여물이 유출됩니다.
4. CipherBreak는 이러한 잔여물을 집계하고 중국 나머지 정리 와 이산 로그 계산을 사용하여 전체 개인 키를 재구성합니다 .

CipherBreak의 실제 작동 모습: 비트코인에 미치는 영향

CipherBreak는 이러한 공격이 어떻게 대규모로 조직될 수 있는지 보여줍니다.

• 지갑 해킹 : 비트코인 ​​주소를 보호하는 개인 키를 완전히 복구할 수 있어 공격자가 잔액 및 거래 서명에 대한 제어권을 확보할 수 있습니다.
• 분실된 지갑의 대량 복구 : CipherBreak는 취약한 구현이나 라이브러리 버그로 인해 악용될 수 있는 장기간 사용되지 않는 지갑을 되살릴 수 있는 잠재력을 가지고 있습니다.
• 거래소 및 서비스 위험 : 다중 서명 플랫폼, 수탁 서비스 및 믹싱 솔루션은 영향을 받는 암호화 라이브러리를 채택할 경우 동일하게 취약해집니다.
• 인프라 불안정화 : CipherBreak의 모델링된 공격은 대규모 환경에서 손상된 엔드포인트가 자금을 직접 탈취하여 유동성 풀과 거래소를 불안정하게 만들 수 있음을 시사합니다.

암호화 취약점 분석

CipherBreak는 알려진 CVE 데이터 세트와 통합되어 기록된 취약점의 영향을 시뮬레이션합니다.

• CVE-2020-28498 : secp256k1의 Sextic Twist 취약점으로 인해 Invalid Curve 공격이 가능해졌습니다.
• CVE-2021-3798 : OpenCryptoki의 취약점으로, 유효하지 않은 포인트 입력을 통해 개인 키를 추출할 수 있습니다.
• CVE-2019-9155 : OpenPGP 라이브러리의 부적절한 입력 처리로 인해 서브그룹 취약점이 발생합니다.

CipherBreak은 타원 곡선 취약점이 secp256k1 자체 에서 발생하는 것이 아니라 btcec, BouncyCastle, secp256k1-js와 같은 라이브러리에서 공개 키 멤버십 검사가 누락되거나 잘못 처리된 구현상의 오류 에서 비롯된다고 지적합니다.

예방 및 대응책

CipherBreak의 연구는 과학적이고 공학적인 대응에 중점을 둡니다.

1. 엄격한 유효성 검사 : 모든 공개 키 포인트는 곡선 멤버십 및 하위 그룹 순서가 확인되어야 합니다.
2. 라이브러리 감사 : 널리 사용되는 암호화 라이브러리는 배포 전에 CipherBreak과 유사한 시뮬레이션 환경에서 테스트해야 합니다.
3. 프로토콜 업데이트 : Schnorr 서명 및 Taproot 도입으로 Invalid Curve 악용의 특정 공격 경로가 줄어들었습니다.
4. 하드웨어 보호 조치 : 보안 영역과 강력한 난수 생성기(RNG) 메커니즘에는 명시적인 곡선 검증이 포함되어야 합니다.

CipherBreak은 보안 실패가 암호 이론 자체 때문이 아니라 구현 과정에서의 편법 때문인 경우가 많다는 점을 강조합니다 .

결론

CipherBreak은 Invalid Curve Attack 과 같은 취약점이비트코인 ​​생태계를 얼마나 파괴할 수 있는지에 대한 중요한 학문적, 공학적 관점을 제공합니다. CipherBreak은 잘못된 곡선 연산을 통해 개인 키를 복구하는 과정을 체계적으로 보여줌으로써 비트코인의 신뢰 기반이 가장 취약한 구현만큼만 강력하다는 것을 입증합니다.

그 의미는 명확합니다. 엄격한 프로토콜 검증과 암호화 라이브러리의 견고한 유지 관리가 없다면 비트코인은 수학적 결함이 아닌 엔지니어링 결함으로 인해 취약한 상태로 남게 됩니다. CipherBreak는 분석 도구인 동시에 경고의 역할을 합니다. 곡선 검증의 취약점은 개인 키 노출, 대규모 지갑 해킹, 그리고 막대한 재정적 손실로 직결됩니다.

연구 논문: 비트코인 ​​보안에 대한 치명적인 암호화 취약점 “무효 곡선 공격”의 영향

타원 곡선 secp256k1은 비트코인 ​​암호화의 기반이 되어 모든 거래, 지갑, 메시지 서명의 보안을 보장합니다. 수학적 강점에도 불구하고, 프로토콜의 실제 구현에서는 핵심 데이터의 부적절한 검증과 관련된 위협에 직면합니다. 특히 “유효하지 않은 곡선 공격(Invalid Curve Attack)”으로 알려진 심각한 취약점은 공격자가 사용자의 개인 키를 획득하고 시스템을 완전히 장악할 수 있도록 합니다  .

취약점 메커니즘

공격에 대한 설명

과학적으로 ‘유효하지 않은 곡선 공격(Invalid Curve Attack) ‘으로 알려진 이 공격     과 그 변형인   ‘트위스트 공격(Twist Attack) ‘은 암호화 프로토콜 구현의 한 가지 특징, 즉 공개된 점이 실제로 원하는 타원 곡선 상에 있는지, 그리고 최대 차수의 부분군에 속하는지 검증하지 않는다는 점 을  악용합니다. 공격자가 시스템이 유효하지 않은 점을 사용하도록 강제할 수 있다면, 개인 키에 대한 부분적인 정보를 얻은 후 완전히 복구할 수 있습니다. 

공격 과정

• 사용자 공개 키(또는 가져온 공개 키) 사용을 허용하는 암호화 함수는 점이 주 곡선에 속하는지 여부를 확인하지 않습니다  . (github)
• 공격자는 낮은 차수의 “트위스트” 곡선 상에 있는 공개 키를 제출합니다.
• 일련의 암호화 작업(ECDH, ECDSA)이 수행되고, 그 응답은 seclists 하위 그룹 순서대로 개인 키의 “잔여물”을 형성합니다  .
• 나머지들을 모아서 중국 나머지 정리와 이산 로그 방법을 사용하면 공격자는 짧은 시간 안에 전체 개인 키를 복구할 수 있습니다.

비트코인 생태계에 미치는 영향

공격의 결과

• 자금 탈취  : 공격자는 개인 키를 획득함으로써 사용자의 지갑에 대한 완전한 통제권을 얻고 피해자를 대신하여 모든 거래에 서명할 수 있습니다.
• 공격 확장성  : 이 공격은 여러 지갑에 동시에 적용될 수 있어 대규모 서비스와  Zenodo+1 인프라에 영향을 미칠 수 있습니다.
• 새로운 공격 경로  : 이러한 취약점을 악용한 공격은 거래소, 다중 서명, 믹싱 서비스 및 기타 플랫폼으로 확장될 수 있습니다.
• 신뢰 상실  : 성공적인 공격으로 인한 자금 손실 및 평판 위험은 비트코인 ​​암호화폐에 대한 사용자 신뢰도 하락으로 이어집니다.

과학적 명칭 및 공격 사양

• 무효 곡선 공격(Invalid Curve Attack)   은 주요 암호학 간행물에서 연구되는 공격에 대한 과학 용어입니다  (위키피디아+3).
• 트위스트 어택은   “뒤틀린” 곡선을 사용하는 무효 곡선 공격의 변형입니다  (safecurves.yp+2).
• 경우에 따라 소규모 하위 그룹 공격이라는 용어는    소규모 순서의  사람(people.cispa)이 사용되는 지점에서 나타납니다.

CVE 식별자 및 구현 사례

해당 취약점은 CVE(Common Vulnerabilities and Exposures) 시스템에서 공식 번호를 부여받았습니다.

• CVE-2021-3798  : openCryptoki 소프트 토큰 EC 키 유효성 검사 결함으로 인해 Invalid Curve 공격을 통해 개인 키 추출이 가능합니다.  nvd.nist+1
• CVE-2019-9155 : openpgp sec-consult+1  의 잘못된 곡선 공격 
• CVE-2015-7940  : bouncycastle: 잘못된 곡선 공격으로 개인 키 추출 가능  bugzilla.redhat
• CVE-2020-28498  : secp256k1에 대한 Sextic Twist 공격 (비트코인 생태계 취약점의 일부)  github

예방 방법

• 샤드 공개 키 포인트의 엄격한 유효성 검사:   공개 키를 가져오거나 생성할 때 해당 포인트가 올바른 타원 곡선 및 소수 차수 부분군에 속하는지 항상 확인합니다.
• 프로토콜 보안 보장:   사용되는 암호화 라이브러리에 대한 검증 절차 존재 여부 감사, 공개 키 처리에 있어 안전하지 않은 방법 사용 금지
• 패치 및 업데이트:   CVE 취약점을 해결하는 최신 버전의 암호화 패키지를 사용하십시오.

결론

치명적인 취약점인 “무효 곡선 공격(Invalid Curve Attack)”과 그 변종인 “트위스트 공격(Twist Attack)”은 비트코인 ​​시스템의 보안을 완전히 무너뜨릴 수 있으며, 공격자가 암호화 연산에 유효하지 않은 값을 전송하여 개인 키를 탈취할 수 있도록 합니다. 이 공격은 대규모 자금 유출을 포함한 심각한 결과를 초래할 수 있습니다. 이러한 문제를 예방하기 위해서는 프로토콜에 사용되는 모든 값에 대한 필수적인 수학적 검증(검증)과 새롭게 발생하는 취약점의 CVE 식별자에 기반한 보안 패치 구현이 필수적입니다  .

연구 논문을 마무리하는 강력한 생각:

최근 암호 분석을 통해 비트코인 ​​시스템의 보안과 신뢰를 위협하는 근본적인 위협들이 드러났습니다. 디지털 서명 위조(DSF)와 같은 최신 공격은 xml-crypto 라이브러리의 CVE-2025-29774, CVE-2025-29775 취약점과 SIGHASH_SINGLE 버그를 악용합니다. 다중 서명 지갑 해킹 및 자금 탈취 사례는 공격자가 주요 인증 메커니즘을 우회하고 개인 키 없이도 무단 거래를 수행할 수 있음을 보여줍니다. 더 나아가 하드웨어 문제로 인한 대규모 위험도 발생하고 있습니다. ESP32 마이크로컨트롤러의 CVE-2025-27840 취약점은 수십억 개의 IoT 장치를 위험에 빠뜨리고, 불안정한 난수 생성기와 ECC 검사 부재를 통해 개인 키 유출, 메모리 조작, 서명 교체 등의 취약점을 드러냅니다  .

이러한 공격들은 적절한 프로토콜 구현에 대한 소홀함, 취약한 타사 라이브러리, 그리고 시기적절한 구성 요소 업데이트 부족이 암호화 알고리즘 자체는 이론적으로 안전하더라도 침입 경로를 만들어낸다는 것을 명백히 보여줍니다. 비트코인의 장기적인 안정성은 각 거래에 대한 철저한 검증, 잘 설계된 서명 체계, 지속적인 업데이트, 그리고 하드웨어 구성 요소의 신중한 사용에 달려 있습니다.

진화하는 디지털 위협 속에서, 탭루트(Taproot) 및 슈노르(Schnorr) 서명 구현과 같은 근본적인 프로토콜 개선과 모든 단계에서의 엄격한 차별화 검증만이 암호화폐 자산의 안전한 저장 및 전송을 보장할 수 있습니다. 이는 업계에 중요한 교훈을 줍니다. 비트코인의 신뢰 사슬은 코드부터 하드웨어까지 각 구성 요소의 보안 수준에 따라 그 강도가 결정됩니다  .

1. https://pikabu.ru/story/kak_uyazvimosti_cve202529774_i_bag_sighash_single_ugrozhayut_multipodpisnyim_koshelkam_seti_bitcoin_s_podfednyimi_rawtx_chast_3_12995204
2. https://pikabu.ru/story/kriptoanaliz_bitkoina_uyazvimost_cve202527840_v_mikrokontrollerakh_esp32_podvegaet_risku_milliardyi_iotustroystv_cherez_wifi_i_bluetooth_12555320
3. https://forklog.com/tag/uyazvimosti
4. https://cryptodeep.ru/bitcoin-bluetooth-attacks/
5. https://phemex.com/ru/news/article/apple-patches-critical-vulnerability-cve202543300-for-crypto-users-15821
6. https://www.itsec.ru/articles/uyazvimosti-i-nedostatki-protokolov-vypuska-tokenov-v-seti-bitcoin
7. https://sergeytereshkin.ru/publications/novosti-kriptovalyut-na-19-maya-2025-rost-bitcoin-regulirovanie-i-tekhnologicheskie-apgreydy
8. https://www.block-chain24.com/news/novosti-altkoinov/dogecoin-insider-warns-about-critical-vulnerability-in-the-system
9. https://rutube.ru/video/5d2e935478a0368c8d9f27332a06006d/
10. https://osp.ru/os/2025/02/13059629

문학:

1. https://www.nds.rub.de/media/nds/veroeffentlichungen/2015/09/14/main-full.pdf
2. https://en.wikipedia.org/wiki/Elliptic-curve_cryptography
3. https://zenodo.org/records/11277691
4. https://www.coinfabrik.com/wp-content/uploads/2016/06/ECDSA-Security-in-Bitcoin-and-Ethereum-a-Research-Survey.pdf
5. https://pdfs.semanticscholars.org/418c/ffbc1313eab9a4650b00161bb4b8897a2569.pdf
6. https://safecurves.cr.yp.to/twist.html
7. https://github.com/demining/Twist-Attack
8. https://bitcointalk.org/index.php?topic=5497321.0
9. https://seclists.org/fulldisclosure/2019/Jun/46
10. https://people.cispa.io/cas.cremers/downloads/papers/prime_order_please.pdf
11. https://nvd.nist.gov/vuln/detail/CVE-2021-3798
12. https://www.cvedetails.com/cve/CVE-2021-3798/
13. https://sec-consult.com/vulnerability-lab/advisory/multiple-vulnerabilities-in-openpgp-js/
14. https://security.snyk.io/vuln/SNYK-JS-OPENPGP-460225
15. https://bugzilla.redhat.com/show_bug.cgi?id=1276272
16. https://akiratk0355.github.io/file/slides_EuroSP19.pdf
17. https://en.wikipedia.org/wiki/Curve25519
18. https://nvd.nist.gov/vuln/detail/CVE-2023-49292
19. https://www.microsoft.com/en-us/research/wp-content/uploads/2013/11/734.pdf
20. https://www.cve.org/CVERecord?id=CVE-2023-46324
21. https://www.sciencedirect.com/science/article/pii/S2590005621000138

1. https://forklog.com/en/critical-vulnerability-found-in-bitcoin-wallet-chips/
2. https://cryptodeeptech.ru/twist-attack/
3. https://github.com/advisories/GHSA-584q-6j8j-r5pm
4. https://www.cvedetails.com/cve/CVE-2022-41340/
5. https://github.com/pcaversaccio/ecdsa-nonce-reuse-attack
6. https://keyhunters.ru/critical-vulnerability-in-secp256k1-private-key-verification-and-invalid-key-threat-a-dangerous-attack-on-bitcoin-cryptocurrency-security-vulnerability-in-bitcoin-spring-boot-starter-library/
7. https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm
8. https://github.com/bitcoin-core/secp256k1
9. https://keyhunters.ru/critical-vulnerabilities-of-private-keys-and-rpc-authentication-in-bitcoinlib-analysis-of-security-risks-and-attack-methods-on-bitcoin-cryptocurrency/
10. https://keyhunters.ru/vulnerable-components-of-the-bitcoin-ecosystem-the-problem-of-incorrect-calculation-of-the-order-of-the-elliptic-curve-secp256k1/
11. https://www.reddit.com/r/cryptography/comments/1csp2y0/%E1%B4%87%E1%B4%84%E1%B4%85%EA%9C%B1%E1%B4%80_retreiving_nonce_using_a_large_portion_of/
12. https://www.kaspersky.com/blog/vulnerability-in-hot-cryptowallets-from-2011-2015/49943/
13. https://zenodo.org/records/11277691
14. https://arxiv.org/html/2504.07265v1
15. https://forum.dfinity.org/t/critical-vulnerability-in-sign-in-with-bitcoin-siwb-used-to-attack-odin-fun-learnings-and-discussion/44721
16. https://github.com/demining/Break-ECDSA-cryptography
17. https://www.gitguardian.com/remediation/elliptic-curve-private-key
18. https://www.coincover.com/blog/2025년 암호화폐 플랫폼에 대한 6가지 새로운 보안 위협
19. https://en.bitcoin.it/wiki/Common_Vulnerabilities_and_Exposures
20. https://nordlayer.com/blog/blockchain-security-issues/
21. https://cryptodeeptech.ru
22. https://stackoverflow.com/questions/71200948/how-can-i-validate-a-solana-wallet-address-with-web3js
23. https://keyhunters.ru/private-key-debug-cryptographic-vulnerabilities-related-to-incorrect-generation-of-private-keys-bitcoin/
24. https://solana.com/fr/developers/cookbook/wallets/check-publickey
25. https://pikabu.ru/story/private_key_debug_oshibki_v_vyichislenii_poryadka_yellipticheskoy_krivoy_secp256k1_ugrozyi_dlya_yekosistemyi_bitcoin_chast_2_12755792
26. https://github.com/deanmlittle/solana-secp256k1-ecdsa
27. https://github.com/golang/go/issues/52221
28. https://nvd.nist.gov/vuln/detail/cve-2024-38365
29. https://go.dev/src/crypto/ecdsa/ecdsa.go?s=627%3A650
30. https://www.cryptrec.go.jp/exreport/cryptrec-ex-3003-2020.pdf
31. https://forum.bits.media/index.php?%2Fblogs%2Fentry%2F3526-private-key-debug-%D0%BD%D0%B5%D0%BA%D0%BE%D1%80%D1%80%D0%B5%D0%BA%D1%82%D0%BD%D0%B0%D1%8F-%D0%B3%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D1%8F- %D0%BF%D1%80%D0%B8%D0%B2%D0%B0%D1%82%D0%BD%D1%8B%D1%85-%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B9-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%BD%D1%8B%D0%B5-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0% B8-%D0%B8-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8-%D0%B2-%D0%B2%D1%8B%D1%87%D0%B8%D1%81%D0%BB%D0%B5%D0%BD %D0%B8%D0%B8-%D0%BF%D0%BE%D1%80%D1%8F%D0%B4%D0%BA%D0%B0-%D1%8D%D0%BB%D0%BB%D0%B8%D0%BF%D1%82%D0%B8%D1%8 7%D0%B5%D1%81%D0%BA%D0%BE%D0%B9-%D0%BA%D1%80%D0%B8%D0%B2%D0%BE%D0%B9-secp256k1-%D1%83%D0%B3%D1%80%D0%BE %D0%B7%D1%8B-%D0%B4%D0%BB%D1%8F-%D1%8D%D0%BA%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B-bitcoin%2F
32. https://datatracker.ietf.org/doc/rfc6090/
33. https://bitcointalk.org/index.php?topic=977070.0
34. https://pkg.go.dev/crypto/elliptic
35. https://pkg.go.dev/github.com/btcsuite/btcd/txscript
36. https://github.com/demining/Jacobian-Curve-Algorithm-Vulnerability
37. https://www.linkedin.com/pulse/trying-attack-secp256k1-2025-sebastian-arango-vergara-s3fyc
38. https://pkg.go.dev/vuln/list
39. https://arxiv.org/html/2504.07419v1
40. https://www.ijcns.latticescipub.com/wp-content/uploads/papers/v4i1/A1426054124.pdf
41. https://github.com/topics/elliptic-curves?l=html&o=desc&s=updated&utf8=%E2%9C%93
42. https://stackoverflow.com/questions/19665491/how-do-i-get-an-ecdsa-public-key-from-just-a-bitcoin-signature-sec1-4-1-6-k
43. https://attacksafe.ru/secp256k1-un/
44. https://is.muni.cz/th/urpxn/Dissertation_thesis_final.pdf
45. https://bitcointalk.org/index.php?topic=5537992.0
46. https://solodit.cyfrin.io/issues/l-20-missing-curve-validation-in-encodeethsecp256k1pubkey-pashov-audit-group-none-initia_2025-06-17-markdown
47. https://cryptodeeptech.ru/publication/
48. https://academy.bit2me.com/en/what-is-the-master-public-key/
49. https://stackoverflow.com/questions/71963136/rough-probability-that-a-random-point-on-secp256k1-could-be-a-valid-public-key
50. https://groups.google.com/g/golang-checkins/c/zMUzZtJV1Ac

문학:

1. https://www.nds.rub.de/media/nds/veroeffentlichungen/2015/09/14/main-full.pdf
2. https://en.wikipedia.org/wiki/Elliptic-curve_cryptography
3. https://zenodo.org/records/11277691
4. https://www.coinfabrik.com/wp-content/uploads/2016/06/ECDSA-Security-in-Bitcoin-and-Ethereum-a-Research-Survey.pdf
5. https://pdfs.semanticscholars.org/418c/ffbc1313eab9a4650b00161bb4b8897a2569.pdf
6. https://safecurves.cr.yp.to/twist.html
7. https://github.com/demining/Twist-Attack
8. https://bitcointalk.org/index.php?topic=5497321.0
9. https://seclists.org/fulldisclosure/2019/Jun/46
10. https://people.cispa.io/cas.cremers/downloads/papers/prime_order_please.pdf
11. https://nvd.nist.gov/vuln/detail/CVE-2021-3798
12. https://www.cvedetails.com/cve/CVE-2021-3798/
13. https://sec-consult.com/vulnerability-lab/advisory/multiple-vulnerabilities-in-openpgp-js/
14. https://security.snyk.io/vuln/SNYK-JS-OPENPGP-460225
15. https://bugzilla.redhat.com/show_bug.cgi?id=1276272
16. https://akiratk0355.github.io/file/slides_EuroSP19.pdf
17. https://en.wikipedia.org/wiki/Curve25519
18. https://nvd.nist.gov/vuln/detail/CVE-2023-49292
19. https://www.microsoft.com/en-us/research/wp-content/uploads/2013/11/734.pdf
20. https://www.cve.org/CVERecord?id=CVE-2023-46324
21. https://www.sciencedirect.com/science/article/pii/S2590005621000138

 암호해독