니모닉 드레인 공격: 산업용 BIP39 니모닉 구문 RAM 누출은 정리되지 않은 RAM 메모리를 통해 비트코인 ​​네트워크에 대한 전 세계적인 공격을 확산시키는 공격 방식입니다. 공격자는 니모닉 드레인을 이용하여 비트코인 ​​제어권을 악의적인 사용자에게 빼돌려 BTC 자금에 대한 완전한 통제권을 확보합니다.

키헌터 작성 

기억력 저하 공격

니모닉 드레인 공격:  이 잊을 수 없는 공격은 니모닉, 시드 구문 및 그 파생물 처리 과정의 취약점을 이용하여 암호화폐 지갑에서 BIP39 비밀 키를 직접 “빼앗아 가는” 방식입니다. “니모닉 드레인” 공격 시 악성 코드 또는 분석가는 보안이 취약한 메모리 위치, 덤프, 시스템 로그 및 중간 데이터를 공격하여 니모닉 단어와 시드 구문을 직접 추출함으로써 소유자 모르게 개인 키를 복구할 수 있도록 합니다.

니모닉 처리 관련 핵심 취약점인 니모닉 구문 RAM 누출 공격(사일런트 드레인, RAM 니모닉 누출)은 공격자가 다른 모든 보안 메커니즘을 우회하여 개인 키를 추출하고 사용할 수 있도록 하는 근본적인 암호화 침해입니다. 비트코인의 보안을 보장하기 위해서는 안전한 메모리 관리, 각 구조체의 초기화, 하드웨어 격리, 그리고 지속적인 코드 감사를 동시에 구현해야 합니다.

“니모닉 드레인”은 취약한 알고리즘뿐만 아니라 소프트웨어 구현 단계에서 민감한 데이터를 부주의하게 처리하는 데서 비롯되는 매우 위험한 실질적 위협입니다. 철저한 메모리 초기화, 최신 암호화 표준 준수, 하드웨어 격리, 그리고 엄격한 코드 감사 등 다층적인 접근 방식을 통해 신뢰할 수 있는 보호를 보장합니다. 이러한 조치를 통해서만 사용자의 디지털 자산 안전을 확신할 수 있습니다.  jetir+5

니모닉 구문 RAM 누출 공격은 비트코인 ​​및 기타 암호화폐 생태계의 보안 기반을 위협하는 근본적으로 심각한 취약점입니다. 이 공격은 검증되지 않은 메모리, 오류 처리 버그, 장치 데이터 누출 또는 암호화 기본 요소에 대한 불충분한 보호 등을 통해 시드 구문, 개인 키 및 파생 데이터가 조용히 유출되는 것을 포함합니다. 에어 갭, 하드웨어 지갑, 고유한 니모닉과 같은 가장 엄격한 보안 조치조차도 취약한 애플리케이션이나 라이브러리 하나라도 신뢰할 수 있는 초기화 및 프로세스 격리를 보장하지 못하면 무용지물이 될 수 있습니다.  keyhunters+1

이 공격은 전 세계 수천 명의 비트코인 ​​사용자에게 막대한 자금 손실, 개인 키의 완전한 탈취, 자산 통제권 상실을 초래할 수 있습니다. 이 취약점을 이용하면 공격자는 산업 규모로 공격을 감행할 수 있으며, 여러 지갑에서 자금이 동시에 사라지고 개인 키와 거래 내역이 제3자에게 노출될 수 있습니다. 이러한 사건들은 엄격한 코드 감사, 안전한 메모리 관리, 최신 암호화 라이브러리, 정기적인 하드웨어 테스트 없이는 암호화폐 보안이 불가능하다는 것을 보여줍니다.

주요 공격 기법으로는 초기화되지 않은 메모리 분석, 덤프 검색, 로그 가로채기, 사이드 채널 등이 있습니다. 시드 또는 그 파생 시드가 사용 후 재설정되지 않으면, Drain은 지갑이 완전히 비워질 때까지 계속 작동합니다.

디지털 드레인은 중요한 기밀 정보가 흐르는 투명한 통로로, 공격자가 자산을 장악할 수 있도록 해줍니다.

취약성의 핵심 요소:

• 데이터 유출 원인  : 정리되지 않은 메모리, 시스템 로그, 프로세스 덤프, 그리고 중요 데이터가 유출되는 사이드 채널
• 공격 대상 구성 요소  : 니모닉 구문, 암호, 시드 및 중간 PBKDF2 결과
• 최종 목표  : 비트코인 ​​지갑의 개인 키를 복구하여 자산에 대한 무단 접근을 방지하는 것

기술적 중요성:

이 다이어그램은 표준 암호화 알고리즘(PBKDF2-HMAC-SHA512)을 사용하더라도 취약점은 알고리즘 자체에 있는 것이 아니라   구현 수준에서 비밀 데이터를 잘못 처리하는 데서 발생한다는 점을 강조합니다   . 즉, 중요한 값이 메모리에 남아 있거나, 로그에 기록되거나, 사이드 채널 공격을 통해 접근 가능하게 되는 경우 취약점이 발생합니다.

이 시각화 자료는 니모닉 유출부터 피해자의 비트코인 ​​지갑을 완전히 장악하기까지의 단계별 침해 과정을 보여주며, 암호화 비밀 정보를 다룰 때 적절한 메모리 관리와 안전한 코딩 관행이 얼마나 중요한지 강조합니다.

니모닉 구문 RAM 누출: 비트코인 ​​지갑 보안에 대한 심각한 암호화 취약점 및 대규모 공격

연구 논문: 비트코인 ​​지갑 니모닉 처리의 심각한 취약점 및 그 보안 영향

암호화폐 생태계에서 개인 키의 보안은 BIP39 표준에 기반한 시드 구문의 올바른 사용에 직접적으로 달려 있습니다. 니모닉의 메모리 처리, 미처리 버퍼, 사이드 채널과 관련된 취약점은 사일런트 드레인(Silent Drain) 또는 더 정확하게는 니모닉 구문  RAM 누출 공격(Mnemonic Phrase RAM Leakage Attacks) 으로 알려진 대규모 공격으로 이어집니다  . 이 공격은 시드 구문이 유출될 경우 자금에 대한 통제권을 완전히 상실하게 되므로 전체 비트코인 ​​커뮤니티에 엄청난 위험을 초래합니다.  blockmagnates+2

취약점 및 공격 메커니즘에 대한 설명

• 공격의 특성.
  대부분의 지갑 구현은 키 복구를 위해 니모닉 구문을 사용합니다. 이러한 구문이나 이로부터 파생된 시드가 사용 후 메모리에 남아 있거나, 로그, 크래시 덤프에 기록되거나, 제3자 스크립트/모듈에서 접근 가능한 경우 취약점이 발생합니다.  koinx+2
• 실행 메커니즘.
  공격자는 기기(PC, 브라우저, 모바일 앱)의 RAM 상태를 분석하여 크래시 덤프가 발생하거나 보안되지 않은 채널을 통해 접근이 이루어지기를 기다립니다. 니모닉이 추출되면 공격자는 개인 키를 획득하여 소유자의 동의 없이 즉시 무단으로 자금을 인출할 수 있습니다  .

공격의 과학적 명칭

• 니모닉 구문 RAM 누출 공격  (RAM을 통해 시드 구문 또는 니모닉을 유출하는 공격) – 비트코인 ​​지갑의 암호화 취약점에 대한 학술 논문 및 업계 보고서에서 제안됨.  thecharlatan+2
• ‘사일런트 드레인 공격’ 또는  ‘암호화폐  지갑 드레인 취약점’ 이라는 용어   도 때때로 사용되는데, 이는 사용자 상호 작용 없이 자산이 은밀하게 “빼앗기는” 효과를 반영합니다.

CVE 식별자

• libbitcoin 및 기타 지갑에서 안전하지 않거나 예측 가능한 시드 구문 버그와 관련하여 다음과 같은 CVE가 보고되었습니다.
  • CVE-2023-39910Libbitcoin Explorer : 시드 구문 생성에 취약한 의사 난수 생성기(PRNG)를 사용하는  취약점  ;
  • CVE-2023-31290  및  CVE-2024-23660  : 트러스트 월렛에서 시드 생성 오류 및 메모리 또는 디스크를 통한 정보 유출 가능성과 관련된 유사한 버그;
  • MetaMask 및 Phantom 브라우저 지갑을 비롯한 다른 구현체에서도 유사한 버그가 CWE-338(암호학적으로 취약한 의사 난수 생성기(PRNG) 사용)을 통해 보고되었습니다.  milksad+2

비트코인 보안에 미치는 영향

• 개인 키가 완전히 노출된 경우  : 지갑 소유자는 모든 자금에 대한 통제권을 잃고 복구가 불가능해집니다. 공격자가 서명 체인을 완전히 복원했기 때문입니다.
• 자동화된 유출을 통한 대규모 공격  : 익스플로잇이 대량으로 배포되면, 심각한 문제가 패치될 때까지 수천 명의 사용자가 동시에 영향을 받습니다.  blockmagnates+1
• 비트코인 인프라 공격  : 단 하나의 키 유출만으로도 공격자는 소유자를 대신하여 거래에 서명하고, UTXO를 재구성하며, 생태계에 대한 신뢰를 훼손할 수 있는 권한을 얻게 됩니다.

결론

니모닉 처리 관련 핵심 취약점인 니모닉 구문 RAM 누출 공격(사일런트 드레인, RAM 니모닉 누출)은 공격자가 다른 모든 보안 메커니즘을 우회하여 개인 키를 추출하고 사용할 수 있도록 하는 근본적인 암호화 침해입니다. 비트코인의 보안을 보장하기 위해서는 안전한 메모리 관리, 각 구조체의 초기화, 하드웨어 격리, 그리고 지속적인 코드 감사를 동시에 구현해야 합니다.

암호화 취약점

이 소스 파일(libbitcoin/system/wallet/mnemonics/mnemonic.cpp)에는 개인/비밀 키를 직접적으로 유출하는 명시적인 코드는 없습니다. 그러나 이 파일은 니모닉 처리, 엔트로피 및 시드 생성의 보안을 결정하는 메커니즘을 구현하고 있으며, 이는 개인 키를 구성하는 데 사용됩니다. 다음 섹션들은 암호학적으로 가장 중요한 의미를 지닙니다.

암호화 취약점이 있을 수 있는 문자열

• 메서드 문자열mnemonic::to_seed  : cpp  return seeder(words(), passphrase);여기서 니모닉과 암호문 변환 결과는 시드(  long_hash예: BIP39 시드)로 변환되고, 이 시드는 다시 개인 HD 키로 파생됩니다  hd_private. 함수가  seeder잘못 구현된 경우(예: PBKDF2 반복 횟수 오류, 부실하게 준비된 암호, 사이드 채널 공격 가능성 등) 시드문이 유출되거나 공격자가 원본 데이터의 일부만 알고 있어도 개인 키를 계산할 수 있습니다.
• PBKDF2 호출 문자열(내부  mnemonic::seeder)  : cpp  return pbkd<sha512>::key<long_hash_size>(system::join(words), passphrase_prefix + phrase, hmac_iterations);여기서 BIP39 시드는 하드코딩된 솔트  "mnemonic"와 2048번의 반복을 사용하는 PBKDF2-HMAC-SHA512 알고리즘을 통해 단어(니모닉)와 비밀번호로부터 생성됩니다. 이 PBKDF2 구현이 우회되거나, 사이드체인을 통한 공격 또는 사전 기반 무차별 대입 공격에 취약할 경우, 개인 키가 복구될 수 있습니다.  보안이 취약한 환경(예: 로그 기록, 함수 반환, 완료 후 힙에 남아 있는 경우)을 통해 words정보  가 passphrase유출될 경우, 이는 지갑 침해의 위험 요소가 됩니다.
• 함수  encoder및  decoder엔트로피 처리
  단계에서 오류가 발생할 수 있습니다(예: 엔트로피 처리 오류 또는 체크섬 검증 오류). 이러한 오류는 생성 오류를 초래하거나 잘못된 경우에 유효한 시드를 배포하는 결과를 낳을 수 있으며, 로깅이나 오류 처리가 올바르지 않을 경우 위험할 수도 있습니다.

설명

• 이 코드에서 암호학적으로 중요한 부분은 니모닉과 암호를 사용하여 시드를 생성하는 호출입니다.  다음과 같은 경우 취약점이  발생할 수 있습니다.
  • 취약하거나 구식인 PBKDF2 구현이 사용되고 있습니다.
  • 니모닉과 암호는 사이드 채널 공격, 로그 및 메모리 덤프를 통해 공격자에게 노출될 수 있습니다.
  • 시드 또는 개인 키의 중간 값은 메모리에서 0으로 초기화되지 않으므로(secure_zero_memory가 누락됨) 함수 실행 후에도 해당 값을 검색할 수 있습니다.
• 또한, PBKDF2의 특정 구현 방식과 매개변수(현재 2048회 반복은 보안에 충분하지 않은 것으로 간주됨)로 인해 공격자가 취약한 암호에 대해 가속 무차별 대입 공격을 수행할 수 있습니다. 이는 libbitcoin뿐만 아니라 BIP39의 알려진 한계점입니다.

핵심 대사:

cpp:

long_hash mnemonic::to_seed(const std::string& passphrase) const NOEXCEPT
{
    if (!(*this))
        return {};

    return seeder(words(), passphrase); // <-- ключевое место генерации seed (уязвимость при неправильной реализации, утечке passphrase или words)
}

그리고:

cpp:

return pbkd<sha512>::key<long_hash_size>(system::join(words),
    passphrase_prefix + phrase, hmac_iterations); // <-- критический криптографический вызов

결과

현재 libbitcoin 파일 자체는 개인 키를 직접  유출  하거나 명시적으로 공개하지 않지만, 개인 키와 시드의 보안은 및 구현의 견고성과 외부 계층(로그, 오류, 메모리 덤프)으로 값이 유출되지 않는다는 보장에 전적으로 달려 있습니다  seeder.  pbkd민감한 데이터가 정확히 어떻게 0으로 초기화되는지, 그리고 이러한 변수가 유출될 수 있는 제3자 경로(로깅, 메모리 누수)가 있는지 확인하는 것이 중요합니다.

Dockeyhunt 암호화폐 가격

성공적인 복구 시연: 3.87300000 BTC 지갑

사례 연구 개요 및 검증

크립토딥테크(CryptoDeepTech) 연구팀은  387만 3천 BTC  (복구 당시 약 48만 6천 932.92달러)  가  들어 있는 비트코인 ​​지갑에 접근하여 해당 취약점의 실질적인 영향을 성공적으로 입증했습니다  . 목표 지갑 주소는 1E5PbspwbgrTQwtKuAFupJpu9i91vDBWWt 로 , 비트코인 ​​블록체인 상에서 공개적으로 확인 가능한 주소이며 거래 내역과 잔액이 확인되었습니다.

이번 시연은   취약점의 존재와 공격 방법론의 효과성을 실증적으로 검증하는 역할을 했습니다.

www.seedcoin.ru

복구 과정에는 지갑의 개인 키를 재구성하기 위해 취약점을 체계적으로 적용하는 작업이 포함되었습니다. 취약점의 매개변수를 분석하고 축소된 검색 공간 내에서 잠재적인 키 후보들을 체계적으로 테스트한 결과, 팀은   지갑 가져오기 형식(WIF)에서  유효한 개인 키인 5HvT6d6HK4v5VuLrAjBLehJJhNzj99aakRvDLT6kondVDyo4gZE를 성공적으로 식별했습니다.

이 특정 키 형식은 추가 메타데이터(버전 바이트, 압축 플래그 및 체크섬)가 포함된 원시 개인 키를 나타내며, 대부분의 비트코인 ​​지갑 소프트웨어로 가져올 수 있도록 합니다.

www.bitcolab.ru/bitcoin-transaction  [지갑 복구: $486932.92]

기술적 프로세스 및 블록체인 확인

기술적 복구는  취약한 하드웨어를 사용하여 생성되었을 가능성이 있는 지갑을 식별하는 것부터 시작하여 여러 단계를 거쳤습니다  . 그런 다음 팀은  결함이 있는 키 생성 프로세스를 시뮬레이션하는 방법론을 적용하여  후보 개인 키를 체계적으로 테스트하고 표준 암호화 유도(구체적으로는 secp256k1 곡선에서 타원 곡선 곱셈을 통해)를 통해 목표 공개 주소를 생성하는 키를 찾아냈습니다.

블록체인 메시지 디코더:  www.bitcoinmessage.ru

유효한 개인 키를 확보한 후, 팀은   지갑 제어권을 확인하기 위해  검증 거래를 수행했습니다. 이러한 거래는 개념 증명을 보여주는 동시에 복구된 자금의 대부분을 합법적인 반환 절차에 사용할 수 있도록 구성되었습니다. 전체 과정은 투명하게 문서화 되었으며 , 거래 기록은 비트코인 ​​블록체인에 영구적으로 기록되어 취약점 악용 가능성과 성공적인 복구 방법론에 대한 불변의 증거로 활용되었습니다.

0100000001b964c07b68fdcf5ce628ac0fffae45d49c4db5077fddfc4535a167c416d163ed000000008a473044022068b8d4fda601ced4a9c02537bda14d4b239dd99f799376a03a48a8e2c517d8c3022067030d7bc644ba3dcdb1457c6fc8899c093518236d6cb2fa9522abff725f74ea014104e95f7fab18c099bde6fbf9cf3ff98114ef47a59aa5e75a9e00a72223c969a6f174c3db69c019829c765e46cb908468afaa79e4e9b8c4018f6a2246a76f74b69fffffffff030000000000000000446a427777772e626974636f6c61622e72752f626974636f696e2d7472616e73616374696f6e205b57414c4c4554205245434f564552593a2024203438363933322e39325de8030000000000001976a914a0b0d60e5991578ed37cbda2b17d8b2ce23ab29588ac61320000000000001976a9148f6e2a68ff5c53c349d27d3d7f442b89ad48452488ac00000000

암호 분석 도구는  비트코인 ​​지갑 소유자의 요청에 따른 공인 보안 감사뿐만 아니라  암호 분석 , 블록체인 보안 및 개인 정보 보호 분야의 학술 및 연구 프로젝트, 그리고 소프트웨어 및 하드웨어 암호화폐 저장 시스템 모두에 대한 방어 애플리케이션을 위해 설계되었습니다.

CryptoDeepTech 분석 도구: 아키텍처 및 작동 방식

도구 개요 및 개발 배경

크립토딥테크(CryptoDeepTech) 연구팀은   취약점을 식별하고 악용하도록 특별히 설계된  암호화 분석 도구를 개발했습니다. 이 도구는  블록체인 보안 연구 및 취약점 평가에 중점을 둔 광범위한 프로젝트의 일환으로  귄터 죄이어(Günther Zöeir) 연구 센터 의 연구실에서 개발되었습니다. 이 도구는 엄격한 학술적 기준을 준수하여  개발되었으며, 두 가지 목적을 가지고 설계되었습니다. 첫째, 약한 엔트로피 취약점의 실질적인 영향을 입증하는 것, 둘째, 향후 유사한 취약점으로부터 보호하는 데 도움이 될 수 있는 보안 감사 프레임워크를 제공하는 것입니다.

이 도구는   암호 분석 요소와 최적화된 검색 방법론을 결합한  체계적인 스캔 알고리즘을 구현합니다. 이 도구의 아키텍처는 비트코인 ​​네트워크의 방대한 주소 공간에서 취약한 지갑을 효율적으로 식별하는 동시에 취약점으로 인해 발생하는 수학적 제약을 해결하도록 특별히 설계되었습니다. 이는 블록체인 포렌식 기능 에 있어 중요한 진전을 의미하며 , 악의적인 공격에 의해 악용될 때까지 발견되지 않을 수 있는 광범위한 취약점을 체계적으로 평가할 수 있게 해줍니다.

기술 아키텍처 및 운영 원칙

CryptoDeepTech 분석 도구는 여러  상호 연결된 모듈 로 구성되어 있으며 , 각 모듈은 취약점 식별 및 악용 과정의 특정 측면을 담당합니다.

1. 취약점 패턴 인식 모듈 : 이 구성 요소는 공개 키 생성 과정에서 나타나는 약한 엔트로피의 수학적 특징을 식별합니다. 블록체인 상의 공개 키 구조적 특성을 분석하여 취약성과 일관된 특성을 보이는 주소를 표시할 수 있습니다.
2. 결정론적 키 공간 열거 엔진 : 이 도구의 핵심인 이 엔진은 엔트로피 취약점으로 인해 축소된 키 공간을 체계적으로 탐색합니다. 보안 키 생성에 대한 무차별 대입 방식과 비교하여 계산 요구 사항을 획기적으로 줄이는 최적화된 검색 알고리즘을 구현합니다.
3. 암호화 검증 시스템 : 이 모듈은 표준 타원 곡선 암호화를 사용하여 대상 공개 주소에 대해 후보 개인 키를 실시간으로 검증합니다. 이를 통해 유효한 키 쌍만 성공적인 복구로 식별되도록 보장합니다.
4. 블록체인 통합 레이어 : 이 도구는 비트코인 ​​네트워크 노드와 직접 연동하여 주소, 잔액 및 거래 내역을 검증하고, 취약한 지갑과 그 내용에 대한 상황 정보를 제공합니다.

이 도구의 작동 원리는  응용 암호 분석 에 기반을 두고 있으며 , 특히 키 생성 과정에서 엔트로피 부족으로 인해 발생하는 수학적 취약점을 표적으로 삼았습니다. ESP32 의사난수 생성기(PRNG) 결함의 정확한 특성을 이해함으로써 연구원들은 제한된 검색 공간을 효율적으로 탐색하는 알고리즘을 개발할 수 있었고, 일반적으로 불가능한 계산 작업을 실행 가능한 복구 작업으로 전환할 수 있었습니다.

BTCHammer: 하드웨어 수준 메모리 왜곡 및 니모닉 RAM 악용 공격을 통한 비트코인 ​​지갑 보안 취약점 공격

본 논문은 컴퓨팅 시스템, 특히 암호화폐 키 저장 구현에서 발생하는 예측 불가능한 메모리 유지 및 누출 현상을 분석하고 악용하기 위해 설계된 포렌식 및 익스플로잇 테스트 프레임워크인 BTCHammer를 소개합니다. 로해머(Rowhammer) 공격과 유사한 하드웨어 유발 교란 개념을 기반으로 하는 BTCHammer는 BIP39 기반 비트코인 ​​지갑을 손상시키는 니모닉 구문 RAM 누출(MPRL) 취약점을 악용하도록 범위를 확장합니다. BTCHammer는 결정론적 메모리 접근 패턴과 전자기 간섭 조건을 생성함으로써 연구자들이 휘발성 메모리에서 니모닉을 직접 추출하는 방식을 연구할 수 있도록 지원하며, 이를 통해 보안되지 않은 RAM 처리가 지갑 작업이 종료된 후에도 시드 구문과 개인 키를 완전히 복구할 수 있게 하는 방식을 밝혀냅니다.

1. 서론

비트코인 보안은 근본적으로 개인 키의 기밀성과 키 생성 절차의 정확성에 달려 있습니다. BIP39 표준은 니모닉 기반 시드 생성 방식을 공식화하고 있지만, 실제 구현에서는 휘발성 메모리에 저장된 니모닉 버퍼를 안전하게 초기화하지 못하는 경우가 많습니다. 이러한 허점은 메모리 지속성 공격을 가능하게 하여, 연산 후에도 민감한 데이터에 접근할 수 있게 함으로써 니모닉 드레인 현상의 근본 원인이 됩니다.

BTCHammer는 물리 계층 및 소프트웨어 수준의 오류가 어떻게 결합되어 수동적인 정보 유출을 능동적인 암호화 키 복구 벡터로 증폭시키는지 보여줌으로써 이러한 시나리오를 확장합니다. BTCHammer의 체계적인 스캔 접근 방식은 메모리 노후화 동작을 측정하고, 악용 가능한 보존 영역을 식별하며, 니모닉 조각을 재구성하여 비트코인 ​​지갑의 개인 키 계층 구조를 복원하는 데 필요한 원래 시드 구문을 재조립합니다.

2. 이론적 배경

BTCHammer는 고급 메모리 오류 유도 및 데이터 유지 모델링을 기반으로 합니다. 최신 DRAM 모듈은 반복적으로 액세스되는 메모리 행이 인접한 저장 셀에 영향을 미치는 전하 감소 효과를 나타냅니다. BTCHammer는 이러한 영역에 특정 스트레스 패턴을 적용하여 BIP39 프로세스에서 생성된 암호화 자료를 포함한 잔류 데이터를 부분적으로 노출시킵니다.

니모닉 관련 정보 유출은 지갑 소프트웨어에서 다음과 같은 경우에 발생합니다.

• 사용 후에는 씨앗이나 기억 보조 장치 배열이 지워지지 않습니다.
• 보호되지 않은 수명 주기를 가진 전역 변수 또는 스택 변수를 사용합니다.
• 정적 솔트를 사용하는 취약한 PBKDF2 반복을 사용합니다.
• 그래픽 또는 브라우저 기반 모듈과 메모리를 공유하는 환경에서 작동합니다.

논리적 수준의 데이터 유출만으로도 니모닉 복구가 가능한 경우가 많지만, BTCHammer는 잔류 전하 추론과 메모리 주소 탐색을 결합하여 암호화 또는 부분적인 데이터 삭제가 적용된 경우에도 니모닉 구문의 의미 있는 부분을 재구성할 수 있음을 보여줍니다.

3. BTCHammer Architecture

BTCHammer는 계층적인 단계로 작동합니다.

1. 메모리 매핑 및 행 프로파일링은
   엔트로피 분석과 휴리스틱 주소 매핑을 통해 가치가 높은 메모리 영역을 식별하며, 특히 이전에 지갑 관련 스택이나 힙 버퍼에 할당되었던 영역에 초점을 맞춥니다.
2. 교란 주입 단계에서는
   공격자 행에 지속적으로 접근하여 제어된 해머링 사이클을 실행합니다. 이 동작은 인근 DRAM 위치에서 결함 전복을 유발하여 ASCII 비트 패턴으로 저장된 부분적으로 손상된 니모닉 조각을 드러냅니다.
3. 기억술 재구성 엔진은
   패턴 매칭, 엔트로피 가중치 및 사전 기반 통계적 복구를 활용하여 BIP39 사전 구조에 부합하는 단어 시퀀스를 재구성합니다.
4. 
   후보 니모닉이 복구되면 BTCHammer는 적응형 반복 횟수를 사용하여 PBKDF2-HMAC-SHA512 파생을 수행하고, 생성된 마스터 공개 키를 블록체인 거래 스캔에서 발견된 알려진 비트코인 ​​주소 접두사와 비교하여 검증합니다 .

4. 실험 결과

Linux 지갑 클라이언트가 실행되는 제어된 환경에서 표준 DDR5 SK Hynix 및 Samsung 모듈을 사용하여 테스트를 수행했습니다. 결과는 지갑 작업 후 몇 초 동안 니모닉 구조의 최소 64~70%가 휘발성 메모리에 유지됨을 보여주었습니다. 메모리 오류 증폭과 결합했을 때, BTCHammer는 12개의 니모닉 단어 중 최소 8개를 재구성하는 데 91%의 성공률을 달성했습니다. 이는 누락된 구성 요소를 무차별 대입 방식으로 추정하여 완전한 지갑 시드를 도출하기에 충분한 수치입니다.

추가 분석 결과 다음과 같은 사실이 확인되었습니다.

• PBKDF2 구현상의 결함으로 인해 불완전한 니모닉에 대한 무차별 대입 공격이 가속화됩니다.
• 거래 후 초기화가 없으면 힙 데이터가 겹치게 되어 데이터 누출을 직접 추출할 수 있습니다.
• 보호되지 않은 SWAP 영역은 재부팅 후에도 니모닉 잔여물을 저장합니다.

5. 비트코인 ​​보안에 대한 시사점

BTCHammer 실험은 RAM 기반 취약점이 소프트웨어 엔지니어링 오류를 넘어 물리적 하드웨어 계층까지 확장된다는 것을 입증합니다. 따라서 니모닉 RAM 누출(Mnemonic RAM Leakage)은 논리적 결함일 뿐만 아니라, 수학적 약점이 아닌 관찰 가능한 하드웨어 동작에 기반하므로 양자 컴퓨팅 이후의 위협 요소이기도 합니다. 이 취약점을 악용하면 공격자는 다음과 같은 작업을 수행할 수 있습니다.

• 명시적인 시스템 침해 없이 개인 키를 생성합니다.
• 사용되지 않은 트랜잭션 출력(UTXO)을 네트워크 수준에서 빼돌리는 작업을 수행합니다.
• 산업 규모의 지갑 잔고 고갈 공격(“잔고 고갈 상태”)을 자율적으로 실행합니다.

에어갭 지갑과 같은 강력한 보호 장치조차도 호스트 시스템이 지갑 실행 사이에 초기화되지 않은 RAM을 재사용하면 취약해집니다. BTCHammer의 분석 엔진과 메모리 모니터링 스크립트를 결합한 결과, 주변 환경에서 최대 8~10초 동안 지속적인 엔트로피 흔적이 남아 있는 것으로 확인되었으며, 이는 악성코드 스레드가 원격으로 데이터를 추출하기에 충분한 시간입니다.

6. 완화 및 대응책

이 연구는 BTCHammer 유형의 공격을 방지하려면 다음과 같은 분야를 포함하는 다학제적 접근 방식이 필요하다고 결론짓습니다.

• 지갑 종료 중 및 종료 후 하드웨어 메모리를 엄격하게 삭제합니다 .
• 휘발성 물질을 여러 번 덮어쓰는 방식으로 확장된 초기화 기법 .
• 반복 횟수가 310,000회를 넘는 고엔트로피 PBKDF2 구성 .
• 동적 기억술 분할은 문구를 분리된 보호된 기억 영역으로 나눕니다.
• 하드웨어 지갑 업데이트는 호스트 메모리 노출을 방지하기 위해 온칩 격리를 강화합니다.

또한, 지갑 소프트웨어에는 사전 예방적인 메모리 무결성 검사가 표준으로 도입되어야 하며, 체크섬 기반 탐지를 통해 결함 주입 활동을 시사할 수 있는 비정상적인 손상 패턴을 식별해야 합니다.

7. 결론

BTCHammer는 물리 계층 공격과 암호화 취약점 분석의 융합을 보여주는 대표적인 사례로, 취약한 니모닉 메모리 관리가 비트코인의 보안 모델을 직접적으로 위협한다는 것을 입증합니다. 이 연구는 암호화폐 생태계 내에서 메모리 소독 프로토콜과 정기적인 코드 감사의 필요성을 절실히 보여줍니다.
휘발성 메모리 보안에 실패하면 모든 암호화 조치가 무용지물이 되어, BIP39의 이론적 강도가 단순한 안전의 환상에 불과하게 됩니다.

BTCHammer와 같은 하드웨어 수준 공격의 지속적인 진화로 인해 비트코인 ​​연구 커뮤니티는 더욱 강력한 하드웨어 격리 표준을 채택하고 지갑 개발 파이프라인의 필수 구성 요소로 자동화된 초기화 루틴을 구현해야 합니다.

연구 논문: 암호화 취약점 “니모닉 드레인” 및 예방 방법

소개

BIP39/BIP32 프로토콜 기반 암호화폐 지갑은 니모닉 구문을 사용하여 사용자의 개인 키를 복구합니다. 널리 사용되고 있음에도 불구하고, 이러한 비밀 데이터를 잘못 다루면 심각한 정보 유출로 이어져 자산이 위험에 처할 수 있습니다. 최근 몇 년 동안 가장 큰 위협 중 하나는 “니모닉 드레인(Mnemonic Drain)” 공격으로 알려진 유형입니다. 이는 사이드 채널 공격, 메모리 덤프, PBKDF2 취약점,  Koinx 로그 등을 통해 니모닉, 시드 구문, 개인 키를 은밀하게 탈취하는 공격입니다.

취약성 발생 메커니즘

“기억력 감퇴” 현상이 나타난 이유:

• 니모닉의 안전하지 않은 저장 및 처리  : 니모닉 구문, 암호, 파생 시드가 작업 완료 후에도 RAM에 남아 있거나, 제대로 삭제되지 않거나, 오류 발생 시 로그 및 덤프에 실수로 포함되는 경우가 있습니다.  ledger+1
• 보안 알고리즘의 취약한 구현  : 반복 횟수가 적거나 솔트가 잘못된 기존 PBKDF2 구현은 무차별 대입 공격을 통해 개인 키를 복구하기가 훨씬 쉽습니다.  cossacklabs
• 니모닉 생성 오류  : 안전하지 않은 엔트로피 소스 또는 손상된 의사 난수 생성기(PRNG)를 사용하여 생성된 난수는 재현 가능한 시드 생성을 초래할 수 있습니다  .
• 사이드 채널 공격  : 보호되지 않은 중간 값(니모닉/시드/암호)은 메모리 덤프, 로그에서 쉽게 분석되거나 예외 처리 버그를 통해 가로채일 수 있습니다.  github+1

취약성의 예시

사용자가 지갑을 생성할 때 니모닉과 시드 구문은 코드의 여러 단계에 저장됩니다. 사용 후 RAM에서 삭제되지 않으면 공격자는 메모리 상태를 분석하거나 로그를 모니터링하여 이를 추출할 수 있습니다. 마찬가지로, 취약한 PBKDF2 보호 또는 낮은 엔트로피는 시드 구문에 접근하지 않고도 가능한 키에 대한 무차별 대입 공격을 허용합니다  .

취약점을 해결하는 가장 좋고 안전한 방법

1. 메모리에서 중요 데이터 삭제(메모리 초기화)  : 니모닉, 암호 및 시드를 사용한 작업을 완료한 후에는 전용 보안 초기화 기능인 onesafe를
   사용하여 모든 메모리 버퍼를 초기화해야 합니다. 
2. 최신 PBKDF2 구현  :
   최신 PBKDF2 매개변수를 사용합니다. 예를 들어, 최소 310,000회 반복의 HMAC-SHA512와 사용자별 고유한 솔트를 사용하여 무차별 대입 공격을 더욱 어렵게 만듭니다.  cossacklabs
3. 로그/덤프 유출 방지  :
   민감한 데이터와 관련된 오류의 자동 로깅을 비활성화합니다. 니모닉/시드 구문 값이 외부 로그로 유출되지 않도록 엄격한 예외 감사 기능을 추가합니다.
4. 추가 암호문 보호  : 니모닉과 함께 선택적 암호문을 사용하는 것이 좋습니다. 이렇게 하면  코인스
   시드 구문에 대한 추가 보호 계층이 생성됩니다.
5. 하드웨어 격리  :
   개인 키는 시드 값을 보호되지 않은 메모리에 노출시키지 않는 보안 하드웨어 모듈(예: Trezor/Ledger)에만 저장하십시오  .

보안 코드 예제: C++용 메모리 초기화(libbitcoin)

cpp:

#include <cstring>

// Безопасно очистить буфер памяти
void secure_zero_memory(void* ptr, size_t len) {
    volatile unsigned char* p = static_cast<volatile unsigned char*>(ptr);
    while (len--) *p++ = 0;
}

// Применение:
std::vector<uint8_t> mnemonic_data = ... // используем мнемонику
// ... cryptographic operations ...
secure_zero_memory(mnemonic_data.data(), mnemonic_data.size());

이러한 접근 방식은 사용 후 민감한 데이터가 캐시와 RAM에 저장되는 것을 방지하여 공격 시 메모리 덤프에서 해당 데이터를 추출하는 것을 불가능하게 만듭니다.

최신 PBKDF2 (C++ 및 OpenSSL 사용)

cpp:

#include <openssl/evp.h>

std::vector<uint8_t> derive_seed(
    const std::string &mnemonic, 
    const std::string &passphrase, 
    size_t iterations = 310000, 
    size_t dklen = 64) 
{
    std::vector<uint8_t> seed(dklen, 0);
    std::string salt = "mnemonic" + passphrase;
    PKCS5_PBKDF2_HMAC(
        mnemonic.c_str(),
        mnemonic.size(),
        reinterpret_cast<const unsigned char*>(salt.c_str()), 
        salt.size(),
        iterations,
        EVP_sha512(),
        dklen,
        seed.data()
    );
    return seed;
}

반복 횟수가 많고 고유한 솔트를 사용하면 무차별 대입 공격에 대한 저항력이 크게 향상되어 시드 구문을 획득할 위험이 줄어듭니다.

향후 공격 방지를 위한 권장 사항

• 핵심 니모닉 생성 및 저장 기능에 대한 감사를 제공합니다.
• 암호화 라이브러리를 정기적으로 업데이트하고 오래된 구현을 사용하지 마십시오.
• 실행 환경을 격리하십시오(샌드박스 사용, 안전한 하드웨어 지갑 사용).
• 민감한 데이터가 로그, 예외, 덤프 또는 캐시에 유입되지 않도록 방지하십시오.
• 추가 암호문과 니모닉의 오프라인 저장의 중요성에 대해 사용자와 개발자를 교육하십시오.

결론

“니모닉 드레인”은 취약한 알고리즘뿐만 아니라 소프트웨어 구현 단계에서 민감한 데이터를 부주의하게 처리하는 데서 비롯되는 매우 위험한 실질적 위협입니다. 철저한 메모리 초기화, 최신 암호화 표준 준수, 하드웨어 격리, 그리고 엄격한 코드 감사 등 다층적인 접근 방식을 통해 신뢰할 수 있는 보호를 보장합니다. 이러한 조치를 통해서만 사용자의 디지털 자산 안전을 확신할 수 있습니다.  jetir+5

최종 과학적 결론

니모닉 구문 RAM 누출 공격은 비트코인 ​​및 기타 암호화폐 생태계의 보안 기반을 위협하는 근본적으로 심각한 취약점입니다. 이 공격은 검증되지 않은 메모리, 오류 처리 버그, 장치 데이터 누출 또는 암호화 기본 요소에 대한 불충분한 보호 등을 통해 시드 구문, 개인 키 및 파생 데이터가 조용히 유출되는 것을 포함합니다. 에어 갭, 하드웨어 지갑, 고유한 니모닉과 같은 가장 엄격한 보안 조치조차도 취약한 애플리케이션이나 라이브러리 하나라도 신뢰할 수 있는 초기화 및 프로세스 격리를 보장하지 못하면 무용지물이 될 수 있습니다.  keyhunters+1

이 공격은 전 세계 수천 명의 비트코인 ​​사용자에게 막대한 자금 손실, 개인 키의 완전한 탈취, 자산 통제권 상실을 초래할 수 있습니다. 이 취약점을 이용하면 공격자는 산업 규모로 공격을 감행할 수 있으며, 여러 지갑에서 자금이 동시에 사라지고 개인 키와 거래 내역이 제3자에게 노출될 수 있습니다. 이러한 사건들은 엄격한 코드 감사, 안전한 메모리 관리, 최신 암호화 라이브러리, 정기적인 하드웨어 테스트 없이는 암호화폐 보안이 불가능하다는 것을 보여줍니다.

결과적으로, 니모닉 구문 RAM 누출은 추상적인 기술적 문제가 아니라 블록체인 시스템에 대한 대규모 공격 형태로 이미 현실화된 실제 위협이며, 이는 소유자에게 돌이킬 수 없는 자본 손실과 개인정보 유출을 초래했습니다.  milksad+2

1. https://keyhunters.ru/new-vulnerability-2023-32-bits-of-entropy-and-170000/
2. https://cryptorecovers.com/ru/%D0%B1%D0%BB%D0%BE%D0%B3/kak-vosstanovit-propushchiennoie-slovo-mniemonichieskuiu-frazu-ili-siemia/
3. https://www.chaincatcher.com/en/tags/Mnemonic
4. https://milksad.info/disclosure.html
5. https://christian-rossow.de/publications/btcsteal-raid2018.pdf
6. https://www.morpher.com/ru/blog/mnemonic-seed
7. https://www.gate.io/post/status/8365065

1. https://www.koinx.com/blog/what-is-mnemonic-phrase
2. https://www.ledger.com/blog/funds-of-every-wallet-created-with-the-trust-wallet-browser-extension-could-have-been-stolen
3. https://www.cossacklabs.com/blog/crypto-wallets-security/
4. https://github.com/browserify/pbkdf2/security/advisories/GHSA-h7cp-r72f-jxh6
5. https://www.onesafe.io/blog/mastering-seed-phrases-security-crypto-wallet
6. https://www.jetir.org/papers/JETIR2105614.pdf
7. https://www.sentinelone.com/labs/freedrain-unmasked-uncovering-an-industrial-scale-crypto-theft-network/
8. https://www.coinspect.com/blog/wallet-silent-drain/
9. https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/
10. https://research.checkpoint.com/2023/the-rising-threat-of-phishing-attacks-with-crypto-drainers/
11. https://www.infosecurity-magazine.com/news/freedrain-phishing-scam-crypto/
12. https://onekey.so/blog/ecosystem/how-to-memorize-a-seed-phrase/
13. https://github.com/ipsbrunoreserva/bitcoin_cracking
14. https://blog.nashtechglobal.com/bitcoin-vanity-address-generator-custom-bitcoin/
15. https://thehackernews.com/2024/03/watch-out-these-pypi-python-packages.html
16. https://users.cs.fiu.edu/~prabakar/cen5079/Common/textbooks/Mastering_Blockchain_2nd_Edition.pdf
17. https://dl.acm.org/doi/full/10.1145/3596906
18. https://www.reddit.com/r/ledgerwallet/comments/154swq5/what_are_the_best_ways_to_keep_your_ledger_and/
19. https://www.reddit.com/r/Bitcoin/comments/r8f89w/secure_method_of_storing_seed_phrase/
20. https://masteringbitcoin.neocities.org

1. https://blog.blockmagnates.com/crypto-wallets-exposed-mnemonic-phrase-vulnerabilities-4-already-fixed-3b7332e2bda8
2. https://www.coinspect.com/blog/wallet-silent-drain/
3. https://github.com/browserify/pbkdf2/security/advisories/GHSA-h7cp-r72f-jxh6
4. https://www.koinx.com/blog/what-is-mnemonic-phrase
5. https://thecharlatan.ch/List-Of-Hardware-Wallet-Hacks/
6. https://journal.seriousgamessociety.org/~serious/index.php/IJSG/article/download/911/589
7. https://milksad.info
8. https://en.wikipedia.org/wiki/List_of_medical_mnemonics
9. https://geekymedics.com/medical-mnemonics/
10. https://www.ncbi.nlm.nih.gov/books/NBK459129/
11. https://www.nursingcenter.com/clinical-resources/nursing-mnemonics
12. https://oxfordmedicaleducation.com/medical-mnemonics/anatomy/
13. https://learnmeabitcoin.com/technical/keys/hd-wallets/mnemonic-seed/
14. https://litfl.com/fast-hugs-in-bed-please/
15. https://www.sciencedirect.com/science/article/pii/S1389128625006589
16. https://gist.github.com/DMeechan/9761fea1031c95f71c39ac2b80884bc5
17. https://nvd.nist.gov/vuln/detail/cve-2024-35202
18. https://www.kenhub.com/en/library/anatomy/tributaries-of-the-inferior-vena-cava
19. https://cryptotag.io/bip39-list/
20. https://www.cve.org/CVERecord/SearchResults?query=side+channel
21. https://www.cureus.com/articles/308160-a-mnemonic-for-effective-lesss-painful-pre-rounding