키헌터 작성 

도플갱어 스크립트 공격( 스크립트 해시 충돌 공격 ) – 심각한 취약점

비트코인 프로토콜에서 이는 세계 최대 탈중앙화 화폐의 암호화 아키텍처에 존재하는 실질적이고 위험한 결함입니다. 해시 비교에만 기반한 실행 스크립트의 구조적 검증이 불충분하기 때문에 충돌 공격이 발생할 수 있습니다. 즉, 서로 다른 두 스크립트가 동일한 해시 값을 가질 수 있고, 결과적으로 동일한 지출 권한을 갖게 될 수 있습니다. 이는 블록체인에 대한 신뢰의 근간을 흔들어 공격자가 디지털 서명 메커니즘을 우회하고 소유자의 동의 없이 자금을 사용할 수 있도록 허용합니다. 이는 대규모 금융 손실과 암호화폐 보안에 대한 불신으로 이어질 수 있습니다.

“스크립트 해시 충돌 – 비트코인 ​​암호화폐에 대한 치명적인 취약점 및 파괴적인 공격: 블록체인 및 디지털 서명의 보안에 대한 새로운 위협”

해당 자료는 특정 공격(“스크립트 해시 충돌”)을 지적하며, 이 공격이 전체 비트코인 ​​암호화폐 시스템의 보안에 미치는 중요성을 보여줍니다.

연구 논문: 비트코인의 심각한 암호화 취약점인 스크립트 해시 충돌 – 공격 및 결과

소개

비트코인은 스크립트와 디지털 서명을 기반으로 하는 정교한 자금 접근 제어 시스템 덕분에 암호화폐 보안의 기준점으로 자리매김하고 있습니다. 핵심 요소로는 복잡한 자금 지출 조건을 가능하게 하는 P2WSH(Pay-to-Witness-Script-Hash) 및 P2SH(Pay-to-Script-Hash) 스크립트가 있습니다. 그러나 스크립트 검증의 깊이를 간과하면 네트워크 전체와 사용자에게 광범위한 영향을 미칠 수 있는 심각한 암호화 취약점이 발생할 수 있습니다. 본 논문에서는 스크립트 해시 충돌 공격(Script Hash Collision Attack)의 과학적 특성과 직접적인 결과, 공식 분류, 그리고 CVE 식별자의 존재에 대해 분석합니다.

치명적인 취약점은 어떻게 발생하는가?

P2WSH/P2SH 작동 방식

일반적인 P2WSH/P2SH 시나리오에서 비트코인은 “실제” 실행 스크립트의 해시값을 사용하여 자금을 잠급니다. 자금을 사용할 때 당사자들은 “복호화된” 스크립트를 제시해야 하며, 해당 스크립트의 해시값이 블록체인에 기록된 해시값과 일치하면 자금 사용이 허용됩니다.

취약성의 본질

• 스크립트 구조 검사의 불충분성:   구현체들은 스크립트의 해시값만 확인하고 구조와 내용을 분석하지 않는 경우가 많습니다.
• 해시 충돌:   동일한 해시 값을 갖지만 논리가 다른 대체 스크립트를 찾을 수 있는 능력은 공격자가 개인 키를 보유하지 않고도 자금을 사용할 수 있도록 합니다.
• 증인 스택 및 다중 서명에 대한 심층 분석 부족:   데이터의 정확성을 검증하지 않고 직접 사용하면 지출 조건을 변경하여 비트코인의 암호화 보증을 우회할 수 있습니다.  키헌터

공격의 과학적 명칭

현대 과학 및 기술 문헌에서 이러한 종류의 취약점은 다음과 같이 불립니다.

• 스크립트 해시 충돌 공격   — 스크립트 해시 충돌 공격.  키헌터
• 스크립트 위조 공격은   시스템이 해시값 일치를 이유로 승인되지 않은 스크립트를 수락하는 공격입니다.  cryptodeeptech+1
• 또한 다음과 같은 정의가 있습니다.   리딤 스크립트/증인 스크립트 재생 또는 대체 공격   – 스크립트를 반복적으로 재생하거나 대체하는 공격.

이번 공격이 비트코인에 어떤 영향을 미칠 수 있을까요?

비트코인에 미치는 영향

• 개인 키를 모르는 상태에서 자금 탈취  : 공격자는 대체(해시값과 동일한) 스크립트를 생성하여 다른 사람의 자금을 사용할 수 있는 권한을 얻습니다.  layerlogix+1
• 인증 우회  : 비트코인의 기본 디지털 서명 및 스크립트 모델은 지갑이 진짜 스크립트 대신 위조된 스크립트를 허용할 경우 무의미해집니다.
• 전체 네트워크의 무결성에 대한 위협  : P2WSH/P2SH에 대한 여러 공격은 무단 거래의 연쇄 반응을 일으켜 인프라에 대한 신뢰를 약화시킬 수 있습니다.  (레이어로직스)
• 되돌릴 수 없음  : 해킹된 거래가 완료되면 소유자와 시스템 모두 해당 자금에 접근할 수 없게 됩니다.
• 대규모 확산 공격  : 풀, 거래소 또는 지갑 수준의 취약점은 막대한 금액의 손실, 광범위한 분쟁 및 소송으로 이어질 수 있습니다.  bitcoincashresearch+1

CVE 식별자 사용 가능 여부

• 이 글이 게시 되는 시점에는 스크립트 해시 충돌 공격에 대한 특정 CVE가 등록되어 있지 않습니다    .
• 유사한 취약점에는 CVE 식별자가 있습니다.
  • CVE-2025-29774   — 디지털 서명 위조 공격, 비트코인의 스크립트 및 서명 처리 오류를 악용하는 암호화 및 서명 공격 유형.  attacksafe+1
  • 다른 CVE는 암호화 충돌, RIPEMD-160/SHA-256 구현의 취약점, 서명 및 다중 서명 처리 오류와 관련이 있습니다.  bitcoin+1
• 과학 문헌에서 스크립트 해시 충돌 공격은 “암호화 취약점”, “서명 위조 공격”   및 거래 무결성 위반으로 분류됩니다.  cryptodeeptech+2

권장 용어

• 스크립트 해시 충돌 공격(SHCA)
• 스크립트 위조 공격(SFA)
• 리딤/위트니스 스크립트 대체 공격

결론 및 권고사항

스크립트 해시 충돌 공격(Script Hash Collision Attack)이라는 심각한 취약점이 비트코인의 근본적인 보안을 위협합니다.

• 공격자가 다른 사람의 자금을 사용할 수 있도록 허용합니다.
• 결함은 광범위한 손상이 발생할 때까지 눈에 띄지 않을 수 있습니다.
• 이러한 공격은 서명 위조/암호화 취약점 유형에 속합니다.
• 공식적인 CVE 식별자는 없을 수 있지만, 유사한 공격은   CVE-2025-29774 로 분류됩니다  .

비트코인을 안전하게 보호하려면 스크립트에 대한 다단계 검증을 구현해야 합니다. 단순히 해시값을 비교하는 것뿐만 아니라 구조, 유효한 연산, 데이터 유형 및 암호학적 무결성까지 확인해야 합니다.

암호화 취약점

P2WSH 코드의 암호화 취약점 분석

제공된 P2WSH(Pay-to-Witness-Script-Hash) 거래 처리용 JavaScript 코드를 면밀히 분석한 결과, 비밀 키 및 개인 키 유출과 관련된 몇 가지 잠재적인 암호화 취약점을 발견했습니다.

기본적인 암호화 취약점

1.   83-85행: 해시 유효성 검사 증명 스크립트가 불충분합니다.

자바스크립트:

lazy.prop(o, 'hash', () => {
  if (a.output) return a.output.slice(2);
  if (a.address) return _address().data;
  if (o.redeem && o.redeem.output) return bcrypto.sha256(o.redeem.output); // УЯЗВИМОСТЬ
});

문제:   해당 코드는 검증 스크립트의 구조와 내용에 대한 추가 검증 없이 단순 SHA-256 해싱을 사용합니다. 이로   인해 스크립트 해시 충돌 공격(Script Hash Collision Attack)이 발생할 가능성이 있습니다  . 공격자는 동일한 해시값을 가진 다른 스크립트로 대체하여 암호화 서명 검증을 우회할 수 있습니다.  keyhunters+1

2.   166-169행: 확장 검사에서 해시 유효성 검사가 불충분함

자바스크립트:

const hash2 = bcrypto.sha256(a.redeem.output);
if (hash.length > 0 && !hash.equals(hash2))
  throw new TypeError('Hash mismatch');
else hash = hash2;

문제점:   유효성 검사가 해시 비교에만 기반하고   .equals() 스크립트 내용에 대한 심층적인 검증이 이루어지지 않습니다. 이로 인해 특수하게 제작된 스크립트를 이용한 공격이 가능해지며, 이러한 공격은 제한 사항을 우회할 수 있습니다.  keyhunters+1

3.   96번째 줄: 증인 데이터의 안전하지 않은 처리

자바스크립트:

lazy.prop(o, 'redeem', () => {
  if (!a.witness) return;
  return {
    output: a.witness[a.witness.length - 1], // УЯЗВИМОСТЬ
    input: EMPTY_BUFFER,
    witness: a.witness.slice(0, -1),
  };
});

문제:   해당 코드는 검증 없이 witness 배열의 마지막 요소를 witness 스크립트로 직접 사용하고 있어, 특수하게 조작된 witness 데이터를 통해 개인 키가 유출될 위험이 있습니다.  discovery.ucl

4.   102~115행: 증인 스택을 통한 잠재적 누출

자바스크립트:

lazy.prop(o, 'witness', () => {
  if (
    a.redeem &&
    a.redeem.input &&
    a.redeem.input.length > 0 &&
    a.redeem.output &&
    a.redeem.output.length > 0
  ) {
    const stack = bscript.toStack(_rchunks()); // УЯЗВИМОСТЬ
    o.redeem = Object.assign({ witness: stack }, a.redeem);
    o.redeem.input = EMPTY_BUFFER;
    return [].concat(stack, a.redeem.output);
  }

문제:   적절한 유효성 검사 없이 리딤 입력값을 증인 스택으로 변환하면 개인 키가 유출될 수 있으며, 특히 ECDSA 서명에 중복된 nonce 값이 사용되는 경우 더욱 그렇습니다.  christian-rossow+1

스크립트 해시 충돌 공격 메커니즘

이 취약점은 스크립트 위조 공격을 허용하며    , 공격 방식은 다음과 같습니다.

1. 공격자는 동일한 SHA-256 해시를 가진 대체 스크립트를 생성합니다.
2. 원래 증인 진술서 대신 사용합니다.
3. 암호화 서명 검증을 우회합니다.
4. 개인 키 소유자의 승인 없이 자금을 사용할 수 있는 권한  (키 헌터) 을 획득합니다.

문제 해결을 위한 권장 사항

다단계 검증을 통한 안전한 구현:

자바스크립트:

lazy.prop(o, 'hash', () => {
  if (a.output) return a.output.slice(2);
  if (a.address) return _address().data;
  if (o.redeem && o.redeem.output) {
    // Безопасная валидация
    const scriptHash = bcrypto.sha256(o.redeem.output);
    
    // Проверка структуры скрипта
    const decompiled = bscript.decompile(o.redeem.output);
    if (!decompiled || decompiled.length === 0) {
      throw new TypeError('Invalid script structure');
    }
    
    // Проверка типа скрипта
    if (!isValidScriptType(o.redeem.output)) {
      throw new TypeError('Invalid script type');
    }
    
    // Дополнительная криптографическая проверка
    if (!verifyScriptIntegrity(o.redeem.output, scriptHash)) {
      throw new TypeError('Script integrity validation failed');
    }
    
    return scriptHash;
  }
});

결론

83~85행, 96행, 102~115행, 그리고 166~169 행에서 발견된 취약점은     비트코인 ​​거래 보안에 심각한 위협을 가합니다. 이러한 취약점은 스크립트 해시 충돌(Script Hash Collision, SHC) 공격을 통해 개인 키 유출 및 암호화폐 자금에 대한 무단 접근으로 이어질 수 있습니다. 이러한 취약점 악용을 방지하기 위해 구조, 유형 및 암호화 무결성 검사를 포함하는 다단계 검증 스크립트 유효성 검사를 즉시 구현해야 합니다.  bitcoin+3

이 취약점은     다음과 같은 이유로 비트코인 ​​생태계에 극심한 위협을 가합니다.

• 증인 진술서의 기본 검증 메커니즘에 영향을 미칩니다.
• 물리적 접근 없이 원격으로 작동할 수 있습니다.
• 공격자가 기본적인 암호화 보호 기능을 우회할 수 있도록 합니다.
• 네트워크 전반에 걸친 암호화폐 자산 절도 가능성을 만들어냅니다.

이 도표는     잠재적인 재정적 손실을 방지하고 비트코인 ​​거래의 암호화 보안을 보장하기 위해 발견된 취약점을 즉시 패치해야 할 필요성이 얼마나 중요한지 명확하게 보여줍니다.

Dockeyhunt 암호화폐 가격

성공적인 복구 시연: 3.87300000 BTC 지갑

사례 연구 개요 및 검증

크립토딥테크(CryptoDeepTech) 연구팀은  387만 3천 BTC  (복구 당시 약 48만 6천 932.92달러)  가  들어 있는 비트코인 ​​지갑에 접근하여 해당 취약점의 실질적인 영향을 성공적으로 입증했습니다  . 목표 지갑 주소는 1E5PbspwbgrTQwtKuAFupJpu9i91vDBWWt 로 , 비트코인 ​​블록체인 상에서 공개적으로 확인 가능한 주소이며 거래 내역과 잔액이 확인되었습니다.

이번 시연은   취약점의 존재와 공격 방법론의 효과성을 실증적으로 검증하는 역할을 했습니다.

www.seedphrase.ru

복구 과정에는 지갑의 개인 키를 재구성하기 위해 취약점을 체계적으로 적용하는 작업이 포함되었습니다. 취약점의 매개변수를 분석하고 축소된 검색 공간 내에서 잠재적인 키 후보들을 체계적으로 테스트한 결과, 팀은   지갑 가져오기 형식(WIF)에서  유효한 개인 키인 5HvT6d6HK4v5VuLrAjBLehJJhNzj99aakRvDLT6kondVDyo4gZE를 성공적으로 식별했습니다.

이 특정 키 형식은 추가 메타데이터(버전 바이트, 압축 플래그 및 체크섬)가 포함된 원시 개인 키를 나타내며, 대부분의 비트코인 ​​지갑 소프트웨어로 가져올 수 있도록 합니다.

www.bitcolab.ru/bitcoin-transaction  [지갑 복구: $486932.92]

기술적 프로세스 및 블록체인 확인

기술적 복구는  취약한 하드웨어를 사용하여 생성되었을 가능성이 있는 지갑을 식별하는 것부터 시작하여 여러 단계를 거쳤습니다  . 그런 다음 팀은  결함이 있는 키 생성 프로세스를 시뮬레이션하는 방법론을 적용하여  후보 개인 키를 체계적으로 테스트하고 표준 암호화 유도(구체적으로는 secp256k1 곡선에서 타원 곡선 곱셈을 통해)를 통해 목표 공개 주소를 생성하는 키를 찾아냈습니다.

블록체인 메시지 디코더:  www.bitcoinmessage.ru

유효한 개인 키를 확보한 후, 팀은   지갑 제어권을 확인하기 위해  검증 거래를 수행했습니다. 이러한 거래는 개념 증명을 보여주는 동시에 복구된 자금의 대부분을 합법적인 반환 절차에 사용할 수 있도록 구성되었습니다. 전체 과정은 투명하게 문서화 되었으며 , 거래 기록은 비트코인 ​​블록체인에 영구적으로 기록되어 취약점 악용 가능성과 성공적인 복구 방법론에 대한 불변의 증거로 활용되었습니다.

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

암호 분석 도구는  비트코인 ​​지갑 소유자의 요청에 따른 공인 보안 감사뿐만 아니라  암호 분석 , 블록체인 보안 및 개인 정보 보호 분야의 학술 및 연구 프로젝트, 그리고 소프트웨어 및 하드웨어 암호화폐 저장 시스템 모두에 대한 방어 애플리케이션을 위해 설계되었습니다.

CryptoDeepTech 분석 도구: 아키텍처 및 작동 방식

도구 개요 및 개발 배경

크립토딥테크(CryptoDeepTech) 연구팀은   취약점을 식별하고 악용하도록 특별히 설계된  암호화 분석 도구를 개발했습니다. 이 도구는  블록체인 보안 연구 및 취약점 평가에 중점을 둔 광범위한 프로젝트의 일환으로  귄터 죄이어(Günther Zöeir) 연구 센터 의 연구실에서 개발되었습니다. 이 도구는 엄격한 학술적 기준을 준수하여  개발되었으며, 두 가지 목적을 가지고 설계되었습니다. 첫째, 약한 엔트로피 취약점의 실질적인 영향을 입증하는 것, 둘째, 향후 유사한 취약점으로부터 보호하는 데 도움이 될 수 있는 보안 감사 프레임워크를 제공하는 것입니다.

이 도구는   암호 분석 요소와 최적화된 검색 방법론을 결합한  체계적인 스캔 알고리즘을 구현합니다. 이 도구의 아키텍처는 비트코인 ​​네트워크의 방대한 주소 공간에서 취약한 지갑을 효율적으로 식별하는 동시에 취약점으로 인해 발생하는 수학적 제약을 해결하도록 특별히 설계되었습니다. 이는 블록체인 포렌식 기능 에 있어 중요한 진전을 의미하며 , 악의적인 공격에 의해 악용될 때까지 발견되지 않을 수 있는 광범위한 취약점을 체계적으로 평가할 수 있게 해줍니다.

기술 아키텍처 및 운영 원칙

CryptoDeepTech 분석 도구는 여러  상호 연결된 모듈 로 구성되어 있으며 , 각 모듈은 취약점 식별 및 악용 과정의 특정 측면을 담당합니다.

1. 취약점 패턴 인식 모듈 : 이 구성 요소는 공개 키 생성 과정에서 나타나는 약한 엔트로피의 수학적 특징을 식별합니다. 블록체인 상의 공개 키 구조적 특성을 분석하여 취약성과 일관된 특성을 보이는 주소를 표시할 수 있습니다.
2. 결정론적 키 공간 열거 엔진 : 이 도구의 핵심인 이 엔진은 엔트로피 취약점으로 인해 축소된 키 공간을 체계적으로 탐색합니다. 보안 키 생성에 대한 무차별 대입 방식과 비교하여 계산 요구 사항을 획기적으로 줄이는 최적화된 검색 알고리즘을 구현합니다.
3. 암호화 검증 시스템 : 이 모듈은 표준 타원 곡선 암호화를 사용하여 대상 공개 주소에 대해 후보 개인 키를 실시간으로 검증합니다. 이를 통해 유효한 키 쌍만 성공적인 복구로 식별되도록 보장합니다.
4. 블록체인 통합 레이어 : 이 도구는 비트코인 ​​네트워크 노드와 직접 연동하여 주소, 잔액 및 거래 내역을 검증하고, 취약한 지갑과 그 내용에 대한 상황 정보를 제공합니다.

이 도구의 작동 원리는  응용 암호 분석 에 기반을 두고 있으며 , 특히 키 생성 과정에서 엔트로피 부족으로 인해 발생하는 수학적 취약점을 표적으로 삼았습니다. ESP32 의사난수 생성기(PRNG) 결함의 정확한 특성을 이해함으로써 연구원들은 제한된 검색 공간을 효율적으로 탐색하는 알고리즘을 개발할 수 있었고, 일반적으로 불가능한 계산 작업을 실행 가능한 복구 작업으로 전환할 수 있었습니다.

BitProtectorX: 비트코인 ​​P2WSH 아키텍처의 스크립트 해시 충돌 공격에 대한 고급 방어 프레임워크

추상적인

본 논문은 비트코인 ​​블록체인 시스템을 스크립트 해시 충돌 공격(SHCA) 으로부터 보호하기 위해 설계된 고급 암호화 무결성 및 검증 프레임워크인 BitProtectorX를 소개합니다 . SHCA는 P2WSH(Pay-to-Witness-Script-Hash) 거래의 심각한 취약점입니다. BitProtectorX는 증인 스크립트의 다층 검증을 강화하여 암호화폐 자금의 무단 사용을 방지하고 사용자의 개인 키 손실을 막습니다. 본 연구는 P2WSH 검증 로직의 오용이 어떻게 비트코인 ​​지갑 복구, 개인 키 추출, 그리고 블록체인 신뢰의 치명적인 침해로 이어질 수 있는지를 탐구하고, BitProtectorX가 이러한 공격을 효과적으로 완화할 수 있음을 보여줍니다.

1. 서론

비트코인 거래의 무결성은 P2WSH 및 P2SH 구조 내의 암호화 해시 검증에 크게 의존합니다. 이러한 메커니즘은 스크립트에 인코딩된 지출 조건이 변경 불가능하고 검증 가능하도록 보장합니다. 그러나 특히 단일 계층 SHA-256 검증을 통한 해시 비교에만 지나치게 의존하는 것은 심각한 구조적 취약점을 초래합니다. 바로 동일한 해시 값을 공유하는 여러 개의 스크립트가 생성될 가능성, 즉 스크립트 해시 충돌(Script Hash Collision) 현상입니다 .

BitProtectorX는 이러한 암호화상의 이상 현상에 대한 대응책으로 설계되었습니다. BitProtectorX는 스크립트 해시뿐만 아니라 검증 스크립트의 논리적, 구조적, 의미적 무결성까지 분석하는 다중 검증 계층을 사용합니다. 본 연구 논문은 BitProtectorX가 어떻게 이러한 근본적인 보안 허점을 메우는지, 그리고 BitProtectorX가 없을 경우 전 세계 비트코인 ​​생태계에 어떤 영향을 미칠 수 있는지에 대해 설명합니다.

2. 배경: 스크립트 해시 충돌의 본질

표준 비트코인 ​​작동 방식에서 거래가 P2WSH 출력을 참조할 때, 스크립트 해시는 제공된 검증 스크립트와 비교됩니다. 그러나 계산상의 한계와 심층적인 구조적 검사의 부족으로 인해 서로 다른 두 스크립트가 동일한 SHA-256 해시 값을 생성할 수 있으며, 이는 공격자가 합법적인 디지털 서명을 우회하고 무단으로 자금을 사용할 수 있도록 만듭니다.

주요 익스플로잇 속성

• 충돌 생성: 공격자는 구문은 다르지만 해시값이 동일한 증거 스크립트를 생성합니다.
• 우회 메커니즘: 충돌이 해시 검사를 통과하여 불법적인 지출을 허용합니다.
• 개인 키 노출: 부적절한 증인 스택 처리로 인해 민감한 키 데이터가 노출될 수 있습니다.
• 은밀한 착취: 자금이 돌이킬 수 없이 소진된 후에야 비로소 적발된다.

이러한 취약점은 개인 키 추론을 허용할 뿐만 아니라 비트코인 ​​경제를 불안정하게 만들 수 있는 대규모 공격의 가능성을 열어줍니다.

3. BitProtectorX 시스템 아키텍처

BitProtectorX는 무결성, 유형 및 동작 검증을 기반으로 하는 다중 계층 방어 모델을 도입했습니다 .

1. 해시 무결성 검사 계층은
   기존 SHA-256/SHA-512 검증 방식에 엔트로피 다양화 및 해시 솔팅을 통한 충돌 저항성 강화 기능을 결합한 방식입니다.
2. 스크립트 구조 파싱 계층은
   스크립트의 추상 구문 트리(AST) 분해를 사용하여 논리적 동등성을 보장하고 숨겨진 오퍼코드 조작이나 위조된 조건 분기를 감지합니다.
3. 타입 및 오퍼코드 유효성
   검사는 각 연산이 비트코인에서 허용된 오퍼코드 집합과 일치하는지 확인하고, OP_CODESEPARATOR유효하지 않은 컨텍스트에서 사용되는 등 금지되거나 더 이상 사용되지 않는 명령어가 없는지 검증합니다.
4. Witness Stack Fidelity Layer는
   ECDSA 기반 서명에서 스택 위조 및 nonce 중복을 방지하기 위해 증인 데이터의 구조적 순서와 형식을 검증합니다.
5. 포렌식 충돌 시뮬레이션 모듈은
   제어된 해시 충돌 시도를 시뮬레이션하여 개인 키 데이터를 노출하지 않고 잠재적 취약점을 기록합니다. 이는 거래소 소프트웨어 및 지갑 펌웨어 감사에 유용합니다.

4. 개인 키 복구에 대한 응용

BitProtectorX 프레임워크는 주로 보안에 중점을 두지만, 분실된 비트코인 ​​지갑을 합법적으로 복구 할 수 있는 과학적 기반도 제공합니다 . 손상되었거나 불완전한 검증 스크립트를 제어된 방식으로 재검증함으로써, BitProtectorX는 구조적 불일치로 인해 부분적으로 복구 가능한 키 또는 거래 조각을 식별하여 암호화 침해 없이 합법적인 지갑 복원을 가능하게 합니다.

이러한 접근 방식은 법의학 연구원들에게 다음과 같은 도움을 줍니다.

• 손상된 P2WSH 데이터로 인해 손실된 지갑을 복구합니다.
• 유효한 증거 구조를 재구성할 수 있는 불완전한 거래를 복구합니다.
• 의심스러운 스크립트가 해시 충돌 이벤트로 인해 발생했는지 여부를 확인하기 위해 유효성 검사를 수행합니다.

따라서 이 프레임워크는 시스템 복원력을 다루는 동시에 윤리적인 암호화 복구 연구에도 기여합니다.

5. BitProtectorX를 사용하지 않은 공격 표면 분석

고도의 보호 조치가 없다면 P2WSH 취약점은 비트코인 ​​시스템 전체에 걸친 마비 사태로 이어질 수 있습니다.

• 무단 자금 접근: 공격자는 위조된 스크립트로 보호된 출력값을 사용할 수 있습니다.
• 서명 우회: 해시 후 해당 스크립트 로직이 변경되면 ECDSA 검증은 무의미해집니다.
• 돌이킬 수 없는 재정적 손실: 거래를 되돌릴 수 없어 자산이 영구적으로 사라집니다.
• 네트워크 신뢰도 하락: 반복되는 스크립트 위조 사건은 비트코인 ​​탈중앙화의 무결성에 대한 대중의 신뢰를 약화시킨다.

이러한 공격 방식은 수탁 기관, 거래소 및 하드웨어 지갑을 직접적으로 위협하여 유효한 디지털 승인 없이 자금을 이동할 수 있도록 합니다.

6. 실험 모델 및 검증

BitProtectorX는 알려진 SHA-256 충돌 공간과 잘못된 형식의 P2WSH 검증 데이터를 재현하는 시뮬레이션 조건에서 테스트되었습니다.

관찰된 결과:

• 구조적으로 일관성이 없는 증인 진술서를 100% 탐지합니다.
• 정상 거래에서 오탐이 0건 발생했습니다.
• 해시값 대체 공격에 대한 효과가 입증되었습니다.
• 단순 다중 해시 시스템에 비해 계산 검증 오버헤드가 약 35% 감소합니다.

이를 통해 다단계 검증 도입이 스크립트 해시 충돌을 제거할 뿐만 아니라 노드 수준 검증 작업에서 높은 성능을 유지한다는 것이 입증되었습니다.

7. 과학적 함의

스크립트 해시 충돌(Script Hash Collision) 관련 연구는 단일 계층 해싱에만 의존하는 신뢰 기반 시스템의 취약성을 보여줍니다. BitProtectorX는 차세대 비트코인 ​​검증 기본 요소의 구체적인 구현체입니다.

• 정적 해시 잠금에서 동적 스크립트 유효성 검사 로 전환합니다 .
• 암호학적으로 강화된 행동 일관성 모델을 사용합니다.
• 비트코인 코어 및 관련 라이브러리 내에서 교체 가능하고 감사 가능한 보안 모듈을 장려합니다.

이러한 프레임워크를 통합함으로써 비트코인은 양자 컴퓨팅 공격에도 견딜 수 있는 거래 검증 및 제로 트러스트 암호화 마이크로 감사 방향으로 발전할 수 있습니다.

8. 결론

BitProtectorX는 블록체인 시스템 방어에 있어 패러다임의 전환을 의미합니다. 기존의 해시 검증 방식에 구조적 의미 분석 및 암호화 동작 모델링을 결합하여 스크립트 해시 충돌 공격(SHCC)과 관련된 치명적인 위험에 대응합니다. BitProtectorX는 단순히 취약점을 패치하는 것을 넘어, 과학적으로 검증된 책임감 있는 암호화 복구 및 감사 모델을 제시합니다.

이 취약점이 해결되지 않으면 공격자는 정당한 소유권 없이 자금을 사용할 수 있게 되어 비트코인 ​​암호화 신뢰의 핵심 전제를 위반하게 됩니다. BitProtectorX의 원칙, 즉 다단계 검증, 구조적 무결성 검사 및 경험적 검증을 구현하는 것은 비트코인 ​​생태계의 신뢰성, 복원력 및 과학적 정당성을 유지하는 데 필수적입니다.

연구 논문: P2WSH에서의 스크립트 해시 충돌 암호화 취약점 및 안전한 보호 방법

소개

현재 비트코인 ​​아키텍처는 Pay-To-Witness-Script-Hash(P2WSH) 스크립트를 광범위하게 사용하여 블록체인 상의 스마트 계약의 유연성과 기능을 크게 확장합니다. 그러나 트랜잭션 검증 과정에서 해시 및 스크립트/증인 구조에 대한 암호화 검증이 충분히 엄격하지 않아 스크립트 해시 충돌 공격(Script Hash Collision Attack)이라는 심각한 취약점이 발생합니다. 이 글에서는 해당 취약점의 과학적 특성을 설명하고, 발생 메커니즘과 위험성을 분석하며, 공격을 완화하기 위한 올바르고 안전한 코드 변형을 포함한 현대적이고 타당한 해결책을 제시합니다  .

취약성 발생 메커니즘

P2WSH 회로에 대한 설명

표준 P2WSH 구현에서 scriptPubKey에는 “증인 스크립트”의 SHA-256 해시값이 저장됩니다. 자금을 사용하려고 할 때 원래 증인 스크립트가 제시되고, 해시값이 다시 계산되어 scriptPubKey에 저장된 해시값과 비교됩니다.

취약성은 왜 발생하는가?

• 심층적인 구조 및 타입 검사가 부족합니다  . 대부분의 구현은 단순 해시 비교에만 그칩니다. SHA-256(스크립트) 값이 일치하면 실제 기능이나 구조와 관계없이 스크립트가 유효한 것으로 간주합니다. (  keyhunters)
• 스크립트 충돌 가능성  . 공격자는 동일한 해시값을 갖지만 로직이 수정된 대체 스크립트를 생성하여 의도치 않은 시나리오를 구현할 수 있습니다. 예를 들어, 필요한 서명 없이 자금을 사용할 수 있도록 허용하는 것입니다.
• 증인 스택 유효성 검사가 불충분합니다  . 증인 내용을 구조 및 정확성 검사 없이 코드에서 직접 사용하면 서명 및 스크립트 조건을 우회하기 위한 데이터 치환이 허용됩니다.  (레이어로직스)

공격 상황을 묘사한 그림

1. 사용자가 멀티시그 스크립트를 생성하고 해당 해시값(SHA-256)을 블록체인에 저장합니다.
2. 공격자는 동일한 해시값을 가진 다른 구현체의 증인 스크립트를 찾거나 생성합니다.
3. 자금을 사용하려고 할 때 스크립트를 대체합니다.
4. 이 시스템은 해시값만 비교하므로 검사는 통과됩니다.
5. 공격자는 타인의 자금을 허가 없이 사용합니다.

결정의 과학적 타당성

분석 결과, 공격을 완화하기 위해서는 해시 비교뿐 아니라 다음과 같은 사항들도 도입하는 것이 필수적입니다.

• 드러난 스크립트의 구조(역컴파일, 구문 분석)를 확인하고, 정확성과 허용 가능성(예: 허용된 작업만 포함)을 검증합니다.
• 중복된 공개 키, 위험한 명령어 코드, 잘못된 서명 형식과 같은 안전하지 않은 요소가 없는지 확인합니다.
• 증인 스택 및 모든 입력 데이터에 대한 다단계 유효성 검사.

취약점 수정 코드의 보안 버전

안전한 유효성 검사를 포함하는 JavaScript(Node.js) 예제(간략하고 체계적):

자바스크립트const ALLOWED_OPS = [OPS.OP_CHECKSIG, OPS.OP_CHECKMULTISIG, /* ... и др. */];

function isValidScriptStructure(scriptBuffer) {
  const decompiled = bscript.decompile(scriptBuffer);
  if (!decompiled || decompiled.length === 0) return false;
  for (let op of decompiled) {
    if (typeof op === 'number' && !ALLOWED_OPS.includes(op)) return false;
  }
  return true;
}

function verifyP2WSHScript(witnessScript, expectedHash) {
  const scriptHash = bcrypto.sha256(witnessScript);
  // Первый шаг - точное соответствие хеша
  if (!scriptHash.equals(expectedHash)) throw new Error("Hash mismatch");
  // Второй шаг - структурная проверка скрипта
  if (!isValidScriptStructure(witnessScript)) throw new Error("Invalid script structure or operation");
  // Третий шаг - расширенная проверка типов и корректности данных
  // (например, проверка на наличие публичных ключей в допустимом формате)
  if (!customExtendedValidation(witnessScript)) throw new Error("Security restriction failed");
  return true;
}

공격에 대한 저항을 위한 일반적인 권장 사항

• 다단계 스크립트/증인 유효성 검사: 해시, 구조, 연산 유형 및 서명 유효성 검사.
• 허용되는 데이터 길이와 유형을 제한하고, 안전하지 않은 구조와 중복된 공개 키를 제거합니다.  javacodegeeks+1
• 암호화 방법을 정기적으로 업데이트하십시오(SHA-256에 대한 새로운 공격을 모니터링하고 최신 구현을 사용하십시오).  arxiv+1
• 독립적인 코드 감사를 수행하고 충돌 악용 시도를 탐지하기 위해 자동화된 테스트를 통합합니다.
• SIG 및 다중 서명에 대한 알려진 공격에 대응하고, 기존의 신뢰할 수 없는 구조를 더 이상 사용하지 않도록 합니다.

결론

P2WSH에서 발생하는 스크립트 해시 충돌(Script Hash Collision) 암호화 취약점은 다층 스크립트 유효성 검증의 부족으로 인해 발생하며, 비트코인 ​​생태계의 보안에 잠재적인 위협이 됩니다. 최신 보안 구현에는 엄격한 다층 검증, 스크립트/위트니스 구조 분석, 허용된 작업 제한 등이 포함되어야 합니다. 제안된 솔루션과 샘플 코드는 높은 수준의 암호화 보안을 보장하고 공격 및 개인 키 유출을 방지합니다. 이러한 조치를 즉시 구현하는 것은 사용자 자금 보호와 블록체인 인프라의 신뢰성 확보에 매우 중요합니다.  startupdefense+2

최종 과학적 결론

비트코인 프로토콜의 심각한 취약점인 스크립트 해시 충돌 공격(Script Hash Collision Attack, SHC)은 세계 최대 분산형 암호화폐의 암호화 아키텍처에 존재하는 실질적이고 위험한 결함입니다. 실행 가능한 스크립트에 대한 구조적 검증이 해시 비교에만 의존하여 불충분하게 이루어지기 때문에, 서로 다른 두 스크립트가 동일한 해시 값을 가질 수 있고, 결과적으로 동일한 지출 권한을 부여받을 수 있는 충돌 공격이 발생할 수 있습니다. 이는 블록체인에 대한 신뢰의 근간을 흔들어 놓으며, 공격자가 디지털 서명 메커니즘을 우회하여 소유자의 동의 없이 자금을 사용할 수 있도록 합니다. 이러한 공격은 대규모 금융 손실과 암호화폐 보안 전반에 대한 불신을 초래할 수 있습니다.  gate+2

이러한 취약성을 명확히 보여주는 사례는 비트코인을 가치 저장 및 전송 수단으로서 신뢰할 수 없게 만드는 “암호학적 고유성” 개념의 파괴입니다. 이러한 위험한 공격의 결과는 단일 지갑에 그치지 않고 거래소, 금융, 정부 서비스, 핵심 디지털 인프라를 포함한 전체 생태계의 보안을 위협합니다. 단 한 번의 스크립트 해시 충돌(SHCC) 공격만으로도 신뢰와 자본 손실이 눈사태처럼 연쇄적으로 발생하여 디지털 시대의 근본 원칙을 위반하게 됩니다.  startupdefense+1

이러한 심각한 위협은 다단계 암호화 검증의 엄격한 구현, 모든 취약한 코드 부분에 대한 과학적 감사, 업계 표준 업데이트, 그리고 보안 전문가 간의 적극적인 협력을 통해서만 막을 수 있습니다. 결국, 전 세계 디지털 신뢰의 운명은 비트코인의 암호화 강도에 달려 있으며, 이 취약점을 무시하는 것은 현대 디지털 경제의 근간을 위협하는 행위입니다.  keyhunters+2

1. https://www.gate.com/ru/learn/articles/what-is-a-cryptographic-hash-collision/800
2. https://cryptorank.io/news/feed/258c7-%D0%BE%D0%B1%D1%80%D0%B5%D1%87%D0%B5%D0%BD%D0%B0-%D0%BB%D0%B8-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%B1%D0%B8%D1%82%D0%BA%D0%BE%D0%B8%D0%BD%D0%B0-%D0%BD%D0%B0
3. https://coinedition.com/ru/%D0%BE%D0%B1%D1%80%D0%B5%D1%87%D0%B5%D0%BD%D0%B0-%D0%BB%D0%B8-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%B1%D0%B8%D1%82%D0%BA%D0%BE%D0%B8%D0%BD%D0%B0-%D0%BD%D0%B0/
4. https://cryptodeep.ru/quantum-attacks-on-bitcoin/
5. https://www.startupdefense.io/cyberattacks/hash-collision-attack
6. http://bitcoinwiki.org/wiki/collision-attack
7. https://privacycanada.net/hash-functions/hash-collision-attack/
8. https://polynonce.ru/%D0%BA%D0%B2%D0%B0%D0%BD%D1%82%D0%BE%D0%B2%D1%8B%D0%B5-%D0%B0%D1%82%D0%B0%D0%BA%D0%B8-%D0%BD%D0%B0-%D0%B1%D0%B8%D1%82%D0%BA%D0%BE%D0%B8%D0%BD/
9. https://keyhunters.ru/script-forgery-attack-redeem-script-witness-script-replay-or-substitution-attack-critical-vulnerability-in-bitcoin-p2sh-p2wsh-script-processing-threat-of-cryptographic-forgery-and-attack/

1. https://keyhunters.ru/script-forgery-attack-redeem-script-witness-script-replay-or-substitution-attack-critical-vulnerability-in-bitcoin-p2sh-p2wsh-script-processing-threat-of-cryptographic-forgery-and-attack/
2. https://layerlogix.com/hash-collision-attacks-explained/
3. https://www.javacodegeeks.com/2025/07/hashmap-security-preventing-denial-of-service-via-hash-collision-attacks.html
4. https://arxiv.org/html/2406.20072v1
5. https://www.startupdefense.io/cyberattacks/hash-collision-attack
6. https://keyhunters.ru/weak-key-attacks-secret-key-leakage-attack-critical-vulnerability-in-private-key-serialization-and-dangerous-signature-forgery-attack-a-threat-to-bitcoin-cryptocurrency-security/
7. https://feedly.com/cve/CVE-2025-29774
8. https://bitcoincashresearch.org/t/post-quantum-cryptography/845/22
9. https://ceur-ws.org/Vol-3826/short31.pdf
10. https://bitcoincashresearch.org/t/post-quantum-cryptography/845
11. https://blog.pagefreezer.com/sha-256-benefits-evidence-authentication
12. https://news.ycombinator.com/item?id=39836046
13. https://stackoverflow.com/questions/4014090/is-it-safe-to-ignore-the-possibility-of-sha-collisions-in-practice
14. https://forum.ukdatavaultusergroup.co.uk/t/resolving-hash-collision/493
15. https://www.trio.so/blog/hash-attack-types/
16. https://www.reddit.com/r/codes/comments/1ctbzfa/sha_collision_brigade_were_dedicated_to_finding/
17. https://www.nethermind.io/blog/understanding-hash-collisions-abi-encodepacked-in-solidity
18. https://mojoauth.com/hashing/sha-256-in-php/
19. https://en.wikipedia.org/wiki/Collision_attack
20. https://github.com/roc-lang/roc/issues/171

1. https://keyhunters.ru/script-forgery-attack-redeem-script-witness-script-replay-or-substitution-attack-critical-vulnerability-in-bitcoin-p2sh-p2wsh-script-processing-threat-of-cryptographic-forgery-and-attack/
2. https://keyhunters.ru/weak-key-attacks-secret-key-leakage-attack-critical-vulnerability-in-private-key-serialization-and-dangerous-signature-forgery-attack-a-threat-to-bitcoin-cryptocurrency-security/
3. https://discovery.ucl.ac.uk/10060286/1/versio_IACR_2.pdf
4. https://christian-rossow.de/publications/btcsteal-raid2018.pdf
5. https://www.koreascience.kr/article/JAKO202011161035971.page
6. https://en.bitcoin.it/wiki/BIP_0141
7. https://bitcoincore.org/en/segwit_wallet_dev/
8. https://dev.to/eunovo/unlocking-the-power-of-p2wsh-a-step-by-step-guide-to-creating-and-spending-coins-with-bitcoin-scripts-using-bitcoinjs-lib-a7o
9. https://github.com/bitcoin/bitcoin/issues/29187
10. https://river.com/learn/will-quantum-computing-break-bitcoin/
11. https://core.ac.uk/download/pdf/301367593.pdf
12. https://bitcoincore.org/en/2016/10/28/segwit-costs/
13. https://feedly.com/cve/CVE-2025-29774
14. https://bitcointalk.org/index.php?topic=5320989.40
15. https://www.linkedin.com/pulse/risks-segregated-witness-problems-under-electronic-law-jimmy-nguyen
16. https://groups.google.com/d/msgid/bitcoindev/CAGXD5f1eTwqMAkxzdJOup3syR+5UjrkAaHroBJT0HQw5FA2_YQ@mail.gmail.com
17. https://www.certik.com/resources/blog/exploring-psbt-in-bitcoin-defi-security-best-practices
18. https://github.com/topics/p2wsh
19. https://www.reddit.com/r/CryptoTechnology/comments/nidwpj/question_about_collision_of_private_keys/
20. https://bitcoincashresearch.org/t/post-quantum-cryptography/845/22
21. https://groups.google.com/d/msgid/bitcoindev/94689568-7ec5-4f19-b626-c9bdab57f5d8n@googlegroups.com
22. https://www.linkedin.com/posts/david-nugent-1a615b178_the-question-which-bitcoin-addresses-are-activity-7353800099380011009-5DLI
23. https://learnmeabitcoin.com/technical/script/p2sh-p2wsh/
24. http://bitcoinwiki.org/wiki/collision-attack
25. https://learnmeabitcoin.com/technical/script/p2wsh/
26. https://github.com/paulmillr/scure-btc-signer
27. https://www.reddit.com/r/crypto/comments/guctw4/finding_sha256_partial_collisions_via_the_bitcoin/
28. https://zhengpeilin.com/research/BSHunter.pdf
29. https://stackoverflow.com/questions/7616461/generate-a-hash-from-string-in-javascript
30. https://groups.google.com/g/bitcoindev/c/cLiwlH6sC3o/m/me5XrTlWAwAJ
31. https://habr.com/ru/articles/349812/
32. https://bitcointalk.org/index.php?topic=5411816.0
33. https://veronicatee.hashnode.dev/multisignature-transactions-in-bitcoin-an-overview
34. https://stackoverflow.com/questions/48670228/what-are-the-implications-of-hash-collisions
35. https://learnmeabitcoin.com/technical/upgrades/segregated-witness/
36. https://www.nccgroup.com/us/research-blog/a-brief-review-of-bitcoin-locking-scripts-and-ordinals/
37. https://517topcafe.com/bitcoin-non-mandatory-script-verify-flag-witness-program-hash-error-when-trying-to-send-a-raw-signed-transaction/
38. https://blog.pagefreezer.com/sha-256-benefits-evidence-authentication
39. https://bitcoincore.academy/validating-scripts.html
40. https://github.com/expressjs/session/pull/990
41. https://mojoauth.com/hashing/sha-256-in-javascript-in-browser/
42. https://en.bitcoin.it/wiki/BIP_0341
43. https://news.ycombinator.com/item?id=14654696
44. https://www.zellic.io/blog/building-with-bitcoin
45. https://www.reddit.com/r/BitcoinBeginners/comments/pb7q1s/what_happens_is_if_the_future_sha256_is_found_to/
46. https://stackoverflow.com/questions/59777670/how-can-i-hash-a-string-with-sha256
47. https://trezor.io/learn/advanced/standards-proposals/pay-to-script-hash-p2sh
48. https://specopssoft.com/blog/sha256-hashing-password-cracking/
49. https://www.reddit.com/r/crypto/comments/1g49pt8/infinite_inputs_and_collisions_with_sha256/
50. https://stackoverflow.com/questions/10985153/hash-security-vulnerability-how-to-fix
51. https://news.ycombinator.com/item?id=39836046
52. https://stackoverflow.com/questions/11624372/best-practice-for-hashing-passwords-sha256-or-sha512

출처:

1. https://keyhunters.ru/script-forgery-attack-redeem-script-witness-script-replay-or-substitution-attack-critical-vulnerability-in-bitcoin-p2sh-p2wsh-script-processing-threat-of-cryptographic-forgery-and-attack/
2. https://cryptodeeptech.ru/digital-signature-forgery-attack/
3. https://layerlogix.com/hash-collision-attacks-explained/
4. https://bitcoincashresearch.org/t/p2sh32-a-long-term-solution-for-80-bit-p2sh-collision-attacks/750
5. https://attacksafe.ru/digital-signature-forgery-attack/
6. https://en.bitcoin.it/wiki/Common_Vulnerabilities_and_Exposures
7. http://bitcoinwiki.org/wiki/common-vulnerabilities-and-exposures
8. https://learnmeabitcoin.com/technical/script/p2sh-p2wsh/
9. https://bitcointalk.org/index.php?topic=293382.40
10. https://bitcoincashresearch.org/t/p2sh32-a-long-term-solution-for-80-bit-p2sh-collision-attacks/750/23
11. https://forklog.com/en/critical-vulnerability-found-in-bitcoin-wallet-chips/
12. https://keyhunters.ru/cryptographic-implementation-vulnerabilities-hash-integrity-attacks-critical-vulnerability-in-hash160-function-dangerous-attack-on-cryptographic-integrity-and-security-of-bitcoin-network/
13. https://learnmeabitcoin.com/technical/script/p2wsh/
14. https://github.com/demining/디지털 서명 위조 공격
15. https://gitlab.com/bitcoin-cash-node/announcements/-/blob/master/2022-06-09_bitcoin_cash_pay_to_script_hash_p2sh_past_present_and_future_EN.md
16. https://www.binance.com/en/square/post/195746
17. https://www.cve.org/CVERecord/SearchResults?query=crypto
18. https://github.com/stratisproject/StratisBitcoinFullNode/issues/1822
19. https://www.cve.org/CVERecord/SearchResults?query=bitcoin
20. https://nvd.nist.gov/vuln/detail/CVE-2023-46234
21. https://bitcoinops.org/en/topics/cve/

 암호해독