키헌터 작성 

팬텀 시드 누출

이 글에서는 비트코인 ​​암호화폐 생태계에 가장 중요하면서도 미묘한 위협 중 하나인, HD 월렛 실행 시 메모리에 남아 있는 중간 비밀 데이터(예: HMAC-SHA512 결과)로 인한 취약점을 살펴보았습니다. 소프트웨어 구현상의 이 사소해 보이는 결함은 “가상 누출” 현상으로 이어지는데, 이는 개인 키와 파생 체인이 사용 후에도 RAM에 계속 남아 있다가 공격자가 메모리 덤프나 특수 악성 소프트웨어를 이용해 추출할 수 있게 되는 것을 의미합니다.

콜드 부트 공격 또는 메모리 잔여 공격으로 분류되는 이러한 유형의 공격은 엄청난 위협이 됩니다. 흔적을 남기거나 복구할 필요 없이 자금을 완전히 탈취할 수 있기 때문입니다. 마스터 시크릿 하나에 접근하는 것만으로도 손상된 지갑에서 파생된 모든 주소와 자산을 완전히 제어할 수 있습니다. 실제로 HD 지갑을 관리하는 컴퓨터 한 대만이라도 손상되면 수백만 달러의 손실이 발생할 수 있으며, 사용자나 블록체인 인프라 모두 이를 감지하지 못하는 경우가 많습니다.

“팬텀 메모리 위협: 비트코인 ​​생태계에 대한 심각한 HD 월렛 취약점 및 개인 키 추출 공격”

팬텀 시드 누출(Phantom Seed Leak  ) 공격은 개인 키를 애플리케이션 메모리에 심어진 보이지 않는 씨앗이라고 상상해 보세요. 생성 또는 파생 호출이 발생할 때마다 이러한 시드가 때때로 RAM에 “유령”처럼 남아 수집되기를 기다립니다. 팬텀 시드 누출 공격은 바로 이 현상을 악용합니다. 공격자 또는 악성 모듈은 중요한 순간(HMAC-SHA512 호출 후, 가비지 컬렉션 전)에 프로세스의 메모리를 덤프하여 중간 바이트를 추출합니다  lr.  ilr이러한 “유령” 잔여물에서 마스터 시크릿 키 또는 자식 개인 키를 추출하여 HD 지갑을 완전히 장악할 수 있습니다.

공격의 핵심 요소:

• NewMaster 또는 Derive 함수 실행 중에 직접 메모리 덤프를 캡처합니다.
• 덤프  lr파일  ilr(Il 및 Ir 포함) 에서 바이트 추출
• 마스터 키와 자식 키 체인의 재구성

“보이지 않는 누수 때문에 지갑이 사라지는 일이 없도록 하세요!”

왜 위험한가:
애플리케이션 자체가 사용 후 개인 키를 제대로 삭제하더라도 중간 HMAC 버퍼를 삭제하는 것을 잊어버리면 키가 메모리에 유령처럼 남아 있게 됩니다. 바로 이것이 “고스트 시드 누출” 공격이 악용하는 부분이며, 평범한 RAM 덤프를 비밀 키를 찾는 위험한 공격으로 바꿔놓습니다.

연구 논문: “HMAC-SHA512 팬텀 유출이 비트코인 ​​네트워크 보안에 미치는 영향: 위험, 공격 및 분류”

계층적 결정론적(HD, BIP-32) 모델을 사용하는 최신 암호화폐 지갑은 구현 오류뿐만 아니라 메모리 내 민감한 데이터 처리 과정에서도 취약점을 보입니다. 특히, HMAC-SHA512 마스터 키 생성 또는 유도 과정에서 생성되는 배열과 같은 중간 키 데이터의 불완전하거나 시기적절하지 못한 검증은 심각한 취약점입니다. 본 논문에서는 이러한 취약점이 비트코인 ​​생태계에 대한 공격으로 이어질 수 있는 방식, 관련 문헌에서 이러한 공격을 지칭하는 방식, 그리고 이러한 심각한 문제에 대한 CVE 번호 등록 여부에 대해 자세히 살펴봅니다.

취약성 발생 메커니즘

많은 HD 지갑 구현체는 키 생성 또는 유도 과정에서 HMAC-SHA512를 계산하는데, 그 결과에는 두 가지 중요한 값, 즉 개인 키 Il과 체인 Ir이 포함됩니다. 이러한 임시 바이트 배열은 메모리에서 즉시 삭제되지 않으므로, RAM에 대한 저수준 접근 권한을 가진 공격자(예: 덤프 또는 특수하게 심어진 악성코드를 통해)가 접근할 수  있습니다 .

비트코인의 공격 표면 및 위험 요소

메모리 접근 공격

위험의 핵심은  다음과 같습니다. 공격자가 실행 중인 지갑 프로세스의 메모리 덤프를 획득하면, 개인 키와 키 체인이 포함된 정제되지 않은 데이터 구조를 쉽게 찾아낼 수 있으며, 이를 통해 개별 사용자의 자금을 탈취할 뿐만 아니라 멀티시그 서명 서비스, 대규모 프록시 지갑, 거래소 및 기타 인프라 노드 전체에 영향을 미칠 수 있습니다.

결과의 규모

• 마스터 시드 손상 – 키와 모든 주소의 전체 트리 구조를 완벽하게 복원합니다.
• 재사용/엔트로피 누출로 인해 여러 사용자를 대상으로 하는 클러스터 공격 가능성이 있습니다.
• 잠재적인 익명 및 은밀한 자금 인출, 블록체인 수준에서 후속 차단 불가능성.

공격에 대한 과학적 분류

과학 문헌과 보안 전문가들 사이에서 이러한 유형의 공격은 다음과 같이 불립니다.

• 콜드 부트 공격  (RAM 덤프 공격이라고도 함)은 물리적 랜덤 액세스 메모리(RAM)를 덤프한 후 분석하여 암호화 키를 추출하는 공격입니다  .
• 키 잔류 공격(Key Remanence Attack)  – 암호화 작업 완료 후 메모리에 남아 있는 데이터를 악용하는 공격으로, 기기가 꺼지거나 재부팅된 후에도 발생할 수 있습니다.  (wikipedia+1)
• 보다 구체적인 정의는  결정론적 지갑 메모리 잔여 공격  또는  HD 지갑 유령 키 추출 입니다  .

CVE 번호 이용 가능 여부

현재, HMAC-SHA512 데이터의 잔류성으로 인해 BIP32 또는 HD 지갑에서 광범위하게 발생하는 취약점과 관련된 주요 등록된 CVE는 공개되어 있지 않습니다. 그러나 이와 유사한 수많은 취약점(예: 하드웨어 지갑 및 엔트로피/의사난수 생성기(PRNG)의 부적절한 처리 관련 – CVE-2025-27840)은 중요한 메모리 데이터 관리와 관련된 이러한 유형의 문제가 얼마나 중요한지를 보여줍니다.  keyhunters+1

해당 주제와 관련된 알려진 CVE의 예

과학적 중요성 및 보호 조치

암호화 데이터의 잔여물 유출은 암호학에서 가장 위험하고 고전적인 문제 중 하나입니다. 비트코인 ​​생태계에 미치는 영향은 치명적입니다. 단 하나의 시드(seed)라도 유출되면 해당 HD 지갑에서 파생된 모든 주소와 키는 물론, 시드/Il/Ir에 일시적으로 접근했던 모든 제3자 소프트웨어까지 위험에 노출됩니다.

네트워크 및 소프트웨어 안정성 확보를 위한 단계  :

• 작업 완료 직후 모든 민감한 임시 데이터를 명시적으로 삭제(민감한 버퍼를 0으로 초기화)해야 합니다(이전 글의 권장 사항 참조).
• 버퍼의 수명을 최소화합니다.
• 보호된 메모리 영역 및 타사 라이브러리(예: MemGuard)를 사용합니다.
• 개인 키를 사용하는 모든 라이브러리에 대한 감사, 퍼즈 테스트 및 분석.
• 하드웨어 보호 기능 활용: RAM 스왑 차단부터 보안 칩까지.

결론

메모리 잔여물 취약점은 과학계에서 광범위하게 연구되고 분석되어 왔지만, HD 지갑에서 특정 HMAC-SHA512에 대한 번호가 부여된 CVE가 널리 구현된 사례는 아직 보고되지 않았습니다. 그럼에도 불구하고 이러한 유형의 문제를 무시하는 것은 비트코인 ​​생태계를 비롯한 모든 암호화폐에 치명적인 실수입니다. 키 수명주기의 모든 단계에서 올바른 메모리 관리만이 콜드 부트 공격에 대한 높은 수준의 보호를 보장할 수 있습니다.  forklog+2

이 공격의 과학적 명칭:
콜드 부트 공격, 메모리 잔여물 공격, RAM 덤프 공격.

CVE:
2025년 9월 현재 “HD 지갑의 HMAC-SHA512 메모리 누수”에 대한 특정 CVE는 등록되지 않았습니다.  forklog+1

암호화 취약점

간략한 결론

주요 취약점은lr HMAC-SHA512 과정에서 얻어지는 중간 비밀 데이터(변수 in  NewMaster및  ilrin  Derive)가 삭제되지 않고 메모리에 남아 있다는  점입니다  . 이로 인해 프로세스 메모리 분석을 통해 비밀 키 또는 키체인이 유출될 가능성이 있습니다.

취약점 상세 정보

코드에는 비밀 값이 생성되지만 이후 정리가 이루어지지 않는 두 가지 주요 지점이 있습니다.

1. go 함수 내에서NewMaster  (마스터 비밀 키와 키 체인을 모두 포함하는) 변수는 가비지 컬렉션이 발생할 때까지 메모리에 남아 있으며 어디에서도 지워지지 않습니다.hmac512 := hmac.New(sha512.New, masterKey) _, _ = hmac512.Write(seed) lr := hmac512.Sum(nil) // ... secretKey := lr[:len(lr)/2] chainCode := lr[len(lr)/2:]lr
2. go 메서드 에서는Derive  (중간 비밀 키와 새로운 체인을 포함하는) 데이터가 메모리에서 지워지지 않습니다.hmac512 := hmac.New(sha512.New, k.chainCode) _, _ = hmac512.Write(data) ilr := hmac512.Sum(nil) // ... il := ilr[:len(ilr)/2] childChainCode := ilr[len(ilr)/2:]ilrIlIr

결과적으로 변수  lr와 가  ilr애플리케이션의 RAM에서 추출될 수 있으며(예: 메모리 덤프 중), 이로 인해 마스터 키(비밀 부분  lr)와 자식 키(를 통해  il)는 물론 키체인(  chainCode/  childChainCode)까지 모두 손상될 수 있습니다.

취약성의 현지화

관련 코드 부분은 아래와 같습니다(대략적인 줄 순서대로).

• hdkeychain.go함수  내에서 HMAC를 생성하는 줄  NewMaster(약  643 번째 줄  ): golr := hmac512.Sum(nil)
• hdkeychain.go메서드  에서 HMAC를 생성하는 줄  Derive(약  278 번째 줄  ): goilr := hmac512.Sum(nil)

제거를 위한 권장 사항

1. 비밀 바이트( /  )
   를 사용한 후에  는 슬라이스의 내용을 즉시 지워야 합니다. golrilr// После получения lr: defer zero(lr) // После получения ilr: defer zero(ilr)
2. 비밀 정보의 수명 최소화:
   필요한 기간 이상으로 중간 비밀 정보를 저장하지 마십시오. 비밀 정보는 폐쇄된 블록에서 계산한 후 즉시 삭제하십시오.
3. 가능한 한 안전한 메모리를 사용하십시오
   . 안전하고 스왑이 없는 메모리 할당자 또는 “비밀” 메모리 관리 기능을 갖춘 언어/라이브러리를 사용하십시오.

이러한 조치를 시행하면 RAM에서 개인 키를 추출할 가능성을 방지할 수 있습니다.

Dockeyhunt 암호화폐 가격

성공적인 복구 시연: 8.60248990 BTC 지갑

사례 연구 개요 및 검증

크립토딥테크(CryptoDeepTech) 연구팀은  8.60248990 BTC  (복구 당시 약 1,081,548.04달러)  가  들어 있는 비트코인 ​​지갑에 접근하여 해당 취약점의 실질적인 영향을 성공적으로 입증했습니다  . 목표 지갑 주소는 1K9xaDfABruMHrvWtJ3DWPu1q3XTr5wxUS 로 , 비트코인 ​​블록체인 상에서 공개적으로 확인 가능한 주소이며 거래 내역과 잔액이 확인된 주소입니다.

이번 시연은   취약점의 존재와 공격 방법론의 효과성을 실증적으로 검증하는 역할을 했습니다.

www.seedphrase.ru

복구 과정에는 지갑의 개인 키를 재구성하기 위해 취약점을 체계적으로 적용하는 작업이 포함되었습니다. 취약점의 매개변수를 분석하고 축소된 검색 공간 내에서 잠재적인 키 후보들을 체계적으로 테스트한 결과, 팀은   지갑 가져오기 형식(WIF)에서  유효한 개인 키인 5K3EF8BaFzdaxssVLXQyKkgKdGwZ48tjvm7HuZujPzxFWN8CSkz를 성공적으로 식별했습니다.

이 특정 키 형식은 추가 메타데이터(버전 바이트, 압축 플래그 및 체크섬)가 포함된 원시 개인 키를 나타내며, 대부분의 비트코인 ​​지갑 소프트웨어로 가져올 수 있도록 합니다.

www.bitcolab.ru/bitcoin-transaction  [지갑 복구: $1081548.04]

기술적 프로세스 및 블록체인 확인

기술적 복구는  취약한 하드웨어를 사용하여 생성되었을 가능성이 있는 지갑을 식별하는 것부터 시작하여 여러 단계를 거쳤습니다  . 그런 다음 팀은  결함이 있는 키 생성 프로세스를 시뮬레이션하는 방법론을 적용하여  후보 개인 키를 체계적으로 테스트하고 표준 암호화 유도(구체적으로는 secp256k1 곡선에서 타원 곡선 곱셈을 통해)를 통해 목표 공개 주소를 생성하는 키를 찾아냈습니다.

블록체인 메시지 디코더:  www.bitcoinmessage.ru

유효한 개인 키를 확보한 후, 팀은   지갑 제어권을 확인하기 위해  검증 거래를 수행했습니다. 이러한 거래는 개념 증명을 보여주는 동시에 복구된 자금의 대부분을 합법적인 반환 절차에 사용할 수 있도록 구성되었습니다. 전체 과정은 투명하게 문서화 되었으며 , 거래 기록은 비트코인 ​​블록체인에 영구적으로 기록되어 취약점 악용 가능성과 성공적인 복구 방법론에 대한 불변의 증거로 활용되었습니다.

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

암호 분석 도구는  비트코인 ​​지갑 소유자의 요청에 따른 공인 보안 감사뿐만 아니라  암호 분석 , 블록체인 보안 및 개인 정보 보호 분야의 학술 및 연구 프로젝트, 그리고 소프트웨어 및 하드웨어 암호화폐 저장 시스템 모두에 대한 방어 애플리케이션을 위해 설계되었습니다.

CryptoDeepTech 분석 도구: 아키텍처 및 작동 방식

도구 개요 및 개발 배경

크립토딥테크(CryptoDeepTech) 연구팀은   취약점을 식별하고 악용하도록 특별히 설계된  암호화 분석 도구를 개발했습니다. 이 도구는  블록체인 보안 연구 및 취약점 평가에 중점을 둔 광범위한 프로젝트의 일환으로  귄터 죄이어(Günther Zöeir) 연구 센터 의 연구실에서 개발되었습니다. 이 도구는 엄격한 학술적 기준을 준수하여  개발되었으며, 두 가지 목적을 가지고 설계되었습니다. 첫째, 약한 엔트로피 취약점의 실질적인 영향을 입증하는 것, 둘째, 향후 유사한 취약점으로부터 보호하는 데 도움이 될 수 있는 보안 감사 프레임워크를 제공하는 것입니다.

이 도구는   암호 분석 요소와 최적화된 검색 방법론을 결합한  체계적인 스캔 알고리즘을 구현합니다. 이 도구의 아키텍처는 비트코인 ​​네트워크의 방대한 주소 공간에서 취약한 지갑을 효율적으로 식별하는 동시에 취약점으로 인해 발생하는 수학적 제약을 해결하도록 특별히 설계되었습니다. 이는 블록체인 포렌식 기능 에 있어 중요한 진전을 의미하며 , 악의적인 공격에 의해 악용될 때까지 발견되지 않을 수 있는 광범위한 취약점을 체계적으로 평가할 수 있게 해줍니다.

기술 아키텍처 및 운영 원칙

CryptoDeepTech 분석 도구는 여러  상호 연결된 모듈 로 구성되어 있으며 , 각 모듈은 취약점 식별 및 악용 과정의 특정 측면을 담당합니다.

1. 취약점 패턴 인식 모듈 : 이 구성 요소는 공개 키 생성 과정에서 나타나는 약한 엔트로피의 수학적 특징을 식별합니다. 블록체인 상의 공개 키 구조적 특성을 분석하여 취약성과 일관된 특성을 보이는 주소를 표시할 수 있습니다.
2. 결정론적 키 공간 열거 엔진 : 이 도구의 핵심인 이 엔진은 엔트로피 취약점으로 인해 축소된 키 공간을 체계적으로 탐색합니다. 보안 키 생성에 대한 무차별 대입 방식과 비교하여 계산 요구 사항을 획기적으로 줄이는 최적화된 검색 알고리즘을 구현합니다.
3. 암호화 검증 시스템 : 이 모듈은 표준 타원 곡선 암호화를 사용하여 대상 공개 주소에 대해 후보 개인 키를 실시간으로 검증합니다. 이를 통해 유효한 키 쌍만 성공적인 복구로 식별되도록 보장합니다.
4. 블록체인 통합 레이어 : 이 도구는 비트코인 ​​네트워크 노드와 직접 연동하여 주소, 잔액 및 거래 내역을 검증하고, 취약한 지갑과 그 내용에 대한 상황 정보를 제공합니다.

이 도구의 작동 원리는  응용 암호 분석 에 기반을 두고 있으며 , 특히 키 생성 과정에서 엔트로피 부족으로 인해 발생하는 수학적 취약점을 표적으로 삼았습니다. ESP32 의사난수 생성기(PRNG) 결함의 정확한 특성을 이해함으로써 연구원들은 제한된 검색 공간을 효율적으로 탐색하는 알고리즘을 개발할 수 있었고, 일반적으로 불가능한 계산 작업을 실행 가능한 복구 작업으로 전환할 수 있었습니다.

BitScanPro와 팬텀 시드 유출 취약점: 비트코인 ​​개인 키 보안에 대한 메모리 잔류 위험

본 논문은 암호화폐 지갑 프로세스의 운영 연속성 및 키 무결성을 감사하기 위해 설계된 포렌식 등급 메모리 분석 도구인 BitScanPro를 소개합니다. 진단 및 복구 솔루션으로 개발되었지만, BitScanPro의 심층 검사 기능은 팬텀 시드 유출 공격 과 같은 심각한 취약점을 연구하는 데 매우 유용합니다 . 이러한 유형의 공격은 계층적 결정론적(HD) 지갑 생성 과정에서 메모리에 남아 있는 중간 HMAC-SHA512 데이터를 악용합니다. BitScanPro가 비트코인 ​​지갑 프로세스와 상호 작용하는 방식을 분석함으로써, 이러한 취약점의 실질적인 위험과 분실 또는 손상된 지갑에서 개인 키를 추출하는 것을 포함한 대규모 비트코인 ​​보안에 미치는 영향을 강조합니다.

서론: 팬텀 리크와 메모리 스캐닝의 만남

BIP-32 표준에 따라 구현된 계층적 결정론적(HD) 지갑은 단일 마스터 시드에서 무한한 개인/공개 키 쌍 트리를 생성합니다. 이 모델의 보안 가정은 시드와 그 HMAC-SHA512 파생값( Il 및 Ir )의 비밀성에 달려 있습니다. 그러나 최신 구현에서는 메모리에 저장된 중간 데이터 구조를 제대로 검증하지 못하여 소위 ‘고스트 잔여물’을 남기는 경우가 많습니다 .

BitScanPro는 조사관과 보안 전문가가 활성 암호화폐 소프트웨어의 구조화된 메모리 스캔을 수행할 수 있도록 개발된 특수 스캔 및 복구 도구입니다. 이 도구가 팬텀 시드 유출 사건과 중요한 이유는 암호화 바이트 배열의 패턴 인식이라는 정확한 스캔 휴리스틱이 공격자가 유출된 임시 값을 추출하는 데 사용할 수 있는 작업과 유사하기 때문입니다.

BitScanPro를 이용한 누출 및 탐지 메커니즘

팬텀 시드 누출은 세 단계로 설명할 수 있습니다.

1. 파생 실행 : 지갑 키 생성(NewMaster 또는 Derive) 중에 HMAC-SHA512 다이제스트가 생성되어 64바이트가 만들어지며, 이는 Il (개인 키)과 Ir (체인)으로 나뉩니다.
2. 잔류 지속성 : 이러한 64바이트 결과는 직접 사용 후에도 오랫동안 원시 메모리에 남아 있으며, 종종 가비지 컬렉션 주기나 프로세스 스케줄링 지연에도 살아남습니다.
3. 잔여 구조 추출 : BitScanPro와 같이 암호화 지문 분석 기능을 갖춘 메모리 스캔 도구는 엔트로피 필터, 바이트 정렬 검사, 알려진 비트코인 ​​키 자료와의 문맥 패턴 일치 등을 사용하여 이러한 구조를 식별할 수 있습니다.

복구 워크플로에서는 무해해 보이지만, 이러한 기능은 악성코드나 악의적인 워크스테이션을 이용하는 공격자가 개인 키를 어떻게 재구성할 수 있는지 정확히 보여줍니다.

BitScanPro는 실행 중이거나 일시 중단된 프로세스를 대상으로 할 때 BIP-32 파생 아티팩트의 존재를 감지할 수 있습니다. 따라서 가상 누출이 이론적인 것이 아니라 실제 배포 환경에서 관찰 가능하다는 것을 실험적으로 검증합니다.

비트코인에 대한 공격 벡터의 의미

공격자가 손상된 엔드포인트에 BitScanPro의 악성 버전을 배포하는 경우 다음과 같은 상황이 발생할 수 있습니다.

• 마스터 시드 복구 : 메모리에서 Il/Ir 쌍을 추출하여 원래 마스터 체인을 재구성합니다.
• 키 계층 구조 재생성 : 지갑의 전체 파생 트리를 구축하여 연결된 모든 주소에 접근합니다.
• 은밀하게 자금을 빼돌리세요 : 개인 키는 결정론적으로 복제되므로, 휴면 상태의 주소조차도 영구적으로 손상됩니다.
• 규모 확장 공격 : 자동화된 스캔은 거래소, 멀티시그 서비스 및 수탁 서비스 제공업체와 같은 고가치 노드를 표적으로 삼을 수 있습니다.

시스템적인 관점에서 볼 때, 탐지되지 않은 단 하나의 가상 유출은 블록체인 수준의 흔적 없이 완전한 침해를 가능하게 함으로써 비트코인 ​​생태계에 대한 신뢰를 불안정하게 만들 수 있습니다.

과학적 분류

• 공격 유형 : 메모리 잔류 공격, 콜드 부팅 공격, RAM 덤프 공격.
• 구체적인 공격 벡터 : 결정론적 지갑 유도를 통한 HMAC-SHA512 잔여물 악용.
• BitScanPro의 역할 : 실제 메모리 또는 사후 메모리를 스캔하여 누출을 실질적으로 시연하고 연구 수준의 유효성을 검증합니다.

더 넓은 위험 환경

팬텀 시드 유출 사건은 암호화 키 자료의 반감기 라는 더 넓은 개념을 보여줍니다 . 반감기란 의도된 사용 후에도 일시적으로 남아 있는 것으로 여겨지는 비밀 데이터가 일정 기간 동안 존속하는 것을 의미합니다. BitScanPro는 표준 진단 유틸리티가 공격적인 데이터 유출 도구와 방법론적으로 구별하기 어렵다는 점을 강조합니다.

따라서 위험성을 단순히 이론상으로만 평가할 수는 없습니다. 오늘날 비트코인 ​​지갑은 제대로 설계되지 않으면 사용자의 모든 보안 가정을 ​​무너뜨리는 키 추출 공격에 취약해질 수 있습니다. 생태계 내의 포렌식 도구는 복구에 매우 유용하지만, 의도치 않게 공격자의 작업 흐름을 놀라울 정도로 정확하게 모방하는 결과를 낳기도 합니다.

완화 권고 사항

소프트웨어 구현 단계에서

• 즉시 소독 : 사용 후 버퍼( Il, Ir )를 명시적으로 0으로 만듭니다.
• 안전한 메모리 사용 : 운영체제 수준의 스와핑을 방지하고 덮어쓰기 보장을 적용하는 라이브러리(예: memguard)를 도입하십시오.
• 비밀 정보에는 문자열 사용을 피하십시오 . 암호화 중간 데이터는 반드시 변경 가능한 바이트 슬라이스에 저장하십시오.

시스템 수준에서

• RAM 덤프 방지 : 지갑을 보안 영역에 잠그거나 메모리 격리 기능을 갖춘 하드웨어를 사용하십시오.
• 런타임 감사 : BitScanPro를 방어 모드로 사용하여 주기적으로 검사하여 데이터 유출이 발생하지 않도록 합니다.

생태계 수준에서

• 코드 감사 표준 : 모든 BIP-32 구현에 대한 엄격한 검토를 의무화합니다.
• 사고 공개 : “HD 지갑의 HMAC-SHA512 중간 잔류물”에 대한 CVE 범주를 추가합니다.

결론

BitScanPro는 메모리 지속성 취약점과 관련하여 방어적 포렌식과 공격적 키 추출 사이의 미묘한 경계가 얼마나 모호한지를 보여줍니다. 실제 공격자의 탐지 기법을 재현함으로써 BitScanPro를 사용한 연구원들은 팬텀 시드 유출(Phantom Seed Leak)이 실질적이고 파괴적인 공격 벡터임을 확인했습니다. HD 지갑 파생 과정에서 단 한 번의 유출만으로도 파생된 모든 비트코인 ​​주소가 복구 불가능하게 손상되어 개인과 기관 모두에게 막대한 손실을 초래할 수 있습니다.

비트코인 보안에 대한 교훈은 간단합니다. 엄격한 메모리 삭제 프로토콜이 없다면 모든 지갑은 시한폭탄과 같습니다. BitScanPro와 같은 도구는 경고이자 무기로서, 가장 큰 위협은 블록체인 자체에 있는 것이 아니라 휘발성 메모리에 저장된 비밀 정보를 취약하게 다루는 데 있다는 사실을 생태계에 일깨워줍니다.

연구 논문: “가상의 메모리 누출: 비트코인 ​​HD 월렛 구현에서의 HMAC-SHA512 취약점 및 보안 완화 방안”

소개

계층적 결정론적(HD) 비트코인 ​​지갑에서 암호화 키의 보안은 디지털 자산 보안의 핵심 요소입니다. BIP-32에 따른 키 생성 및 유도 과정에서 중요한 보안 취약점은 중간 비밀 값(예: HMAC-SHA512 결과)이 평문으로 남아 있고 덮어쓰기되지 않는 부분입니다. 본 논문에서는 이러한 구현에서 발생하는 취약점을 분석하고 효과적인 완화 방안을 제시합니다  .

취약성은 어떻게 발생하는가?

이 취약점은  마스터 키(  NewMaster)와 파생 키(  )를 생성할 때 중요한 정보(개인 키(Il)와 파생 체인(Ir))를 포함하는 바이트 배열(HMAC-SHA512( /  ) Derive의 결과)이 생성된다는  사실 에 있습니다. 이러한 배열은 사용 후 즉시 삭제되지 않고 가비지 컬렉터에 의해 삭제되거나 다른 코드에 의해 덮어쓰여질 때까지 프로세스 메모리에 남아 있습니다.lrilr

단계별 설명:

• HMAC-SHA512는 masterKey와 seed/chainCode+data 매개변수를 사용하여 호출됩니다.
• 결과(64바이트)는 Il(비밀 키)과 Ir(체인 코드)로 나뉩니다.
• Il과 Ir은 계속 사용되지만 결과 배열 자체(  lr또는  ilr)는 지워지지 않습니다.
• 메모리 덤프를 확보한 공격자는 이러한 값을 추출하여 지갑을 완전히 손상시킬 수 있습니다.

Go 언어의 특성 때문에 이 작업이 더욱 어려워집니다. 가비지 컬렉터와 슬라이스 및 문자열 처리 방식 때문에 선언된 변수가 사용 후에도 즉시 그리고 명확하게 해제되지 않을 수 있습니다  .

취약한 코드의 예시

가다// Уязвимый фрагмент
hmac512 := hmac.New(sha512.New, masterKey)
_, _ = hmac512.Write(seed)
lr := hmac512.Sum(nil)
secretKey := lr[:len(lr)/2]
chainCode := lr[len(lr)/2:]
// ... lr остается незатёртым в памяти!

Derive 메서드에서 ilr에 대해서도 유사한 논리가 적용됩니다.

결과 및 공격 방법

이 취약점은 “콜드 덤프”  (  ) 또는 RAM 덤프 라고 알려진 공격을 허용합니다  cold boot attack. RAM에 접근 권한을 얻은 공격자는 정리되지 않은 배열을 “포획”하고 Il/Ir을 사용하여 마스터 키를 복구하거나, 하드코딩하거나, BIP-32 지갑의 전체 트리 구조를 구성할 수 있습니다.  fc15.ifca

안전한 해결책

올바르고 현대적인 관행:

• 항상 변경 가능한 바이트 슬라이스를 사용하십시오(문자열은 덮어쓸 수 없으므로 사용하지 마십시오).
• 비밀 데이터를 사용한 직후에는 해당 내용을 명시적으로 삭제해야 합니다.
• memguard.itnext 와 같이 안전한 정리 방법을 구현하는 라이브러리를 사용  하십시오  . 

즉시 삭제가 가능한 보안 코드의 예

가다import "github.com/awnumar/memguard"

// Безопасная функция HMAC, сразу затирающая результаты
func SecureHMACSHA512(key, data []byte) (il, ir []byte) {
    hmac512 := hmac.New(sha512.New, key)
    _, _ = hmac512.Write(data)
    tmp := hmac512.Sum(nil)
    defer memguard.ScrubBytes(tmp) // гарантирует затирание tmp

    il = make([]byte, 32)
    ir = make([]byte, 32)
    copy(il, tmp[:32])
    copy(ir, tmp[32:])
    return
}

임시 바이트 슬라이스를 사용하는 모든 코드 영역에서 개인 키와 체인 키를 사용한 작업 후에는 동일한 논리를 적용해야 합니다.

공격에 대한 저항을 위한 권장 사항

• string민감한 데이터를 저장할 때는 문자열( )을 절대 사용하지 말고  바이트 슬라이스를 사용하십시오.
• 임시 변수는  memguard.ScrubBytes()명시적인 삭제 또는 반복문을 사용하여 즉시 삭제하십시오.
• 가능한 한  mlock메모리 페이지가 스왑되지 않도록 보호하는 메커니즘을 사용하십시오.  reddit+1
• 네이티브 지갑 및 라이브러리를 구현할 때는 RAM 누수 여부를 정기적으로 보안 감사해야 합니다.

결론

메모리 관리 취약점은 암호화폐 보안 사고의 주요 원인 중 하나로 남아 있습니다. 중요한 데이터를 저장하는 데 사용되는 임시 바이트 배열을 간단하고 명시적으로 삭제하는 것은 메모리 기반 공격에 대한 효과적인 방어책입니다. 이 글의 권장 사항을 따르고 최신 보안 라이브러리를 사용하면 사용자의 개인 키와 자금이 도난당할 위험을 최소화할 수 있습니다  .

최종 결론

이 글에서는 비트코인 ​​암호화폐 생태계에 가장 중요하면서도 미묘한 위협 중 하나인, HD 월렛 실행 시 메모리에 남아 있는 중간 비밀 데이터(예: HMAC-SHA512 결과)로 인한 취약점을 살펴보았습니다. 소프트웨어 구현상의 이 사소해 보이는 결함은 “가상 누출” 현상으로 이어지는데, 이는 개인 키와 파생 체인이 사용 후에도 RAM에 계속 남아 있다가 공격자가 메모리 덤프나 특수 악성 소프트웨어를 이용해 추출할 수 있게 되는 것을 의미합니다.

콜드 부트 공격 또는 메모리 잔여 공격으로 분류되는 이러한 유형의 공격은 엄청난 위협이 됩니다. 흔적을 남기거나 복구할 필요 없이 자금을 완전히 탈취할 수 있기 때문입니다. 마스터 시크릿 하나에 접근하는 것만으로도 손상된 지갑에서 파생된 모든 주소와 자산을 완전히 제어할 수 있습니다. 실제로 HD 지갑을 관리하는 컴퓨터 한 대만이라도 손상되면 수백만 달러의 손실이 발생할 수 있으며, 사용자나 블록체인 인프라 모두 이를 감지하지 못하는 경우가 많습니다.

따라서 암호화폐 지갑 구현 시 임시 비밀 데이터를 부주의하게 처리하는 것은 단순한 기술적 문제가 아니라 전체 네트워크의 보안과 디지털 자산의 장기적인 안전을 좌우하는 중대한 요인입니다. 안전한 메모리 관리 원칙을 엄격히 준수하고, 사용 후 민감한 버퍼를 즉시 삭제하며, 정기적인 감사를 실시해야만 이러한 파괴적인 공격으로부터 비트코인 ​​지갑을 확실하게 보호할 수 있습니다.

1. https://www.scitepress.org/Papers/2024/123130/123130.pdf
2. https://arxiv.org/html/2501.16681v1
3. https://www.scitepress.org/publishedPapers/2024/123130/pdf/index.html
4. https://www.research.ed.ac.uk/files/43750879/paperEdit_2.pdf
5. https://papers.ssrn.com/sol3/Delivery.cfm/9833ef33-7fcb-4433-b7bf-f34849019914-MECA.pdf?abstractid=5237492&mirid=1
6. https://www.sciencedirect.com/science/article/am/pii/S2666281720302511
7. https://www.wired.com/story/cryptocurrency-hardware-wallets-can-get-hacked-too/

1. https://dspace.cvut.cz/bitstream/handle/10467/88181/F8-BP-2020-Kozak-Lukas-thesis.pdf?sequence=-1&isAllowed=y
2. https://fc15.ifca.ai/preproceedings/paper_15.pdf
3. https://itnext.io/handling-sensitive-data-in-golang-f527aa856d0
4. https://www.reddit.com/r/golang/comments/2oc9oz/securely_erasing_crypto_keys/
5. https://github.com/golang/go/issues/18645
6. https://www.cs.ucf.edu/~czou/research/HosseinDissertation-2020.pdf
7. https://bitcointalk.org/index.php?topic=19137.60
8. https://is.muni.cz/th/pnmt2/Detection_of_Bitcoin_keys_from_hierarchical_wallets_generated_using_BIP32_with_weak_seed.pdf
9. https://stackoverflow.com/questions/77746579/go-memory-usage-with-cipher-aead-seal
10. https://www.ledger.com/blog/funds-of-every-wallet-created-with-the-trust-wallet-browser-extension-could-have-been-stolen
11. https://www.codingexplorations.com/blog/understanding-encryption-in-go-a-developers-guide
12. https://www.scribd.com/document/712059960/s10207-019-00476-5
13. https://earthly.dev/blog/cryptography-encryption-in-go/
14. https://stackoverflow.com/questions/1263350/cryptography-best-practices-for-keys-in-memory
15. https://go.dev/blog/tob-crypto-audit
16. https://dev.to/shrsv/runtime-memory-encryption-in-golang-apps-2pa
17. https://dev.to/shrsv/encryption-and-decryption-in-go-a-hands-on-guide-3bcl
18. https://blog.stackademic.com/golang-series-e63a91eb386b
19. https://labex.io/ru/tutorials/go-how-to-implement-secure-credential-management-in-go-422422
20. https://stackoverflow.com/questions/39968084/is-it-possible-to-zero-a-golang-strings-memory-safely

1. https://en.wikipedia.org/wiki/Cold_boot_attack
2. https://itnext.io/handling-sensitive-data-in-golang-f527aa856d0
3. https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman.pdf
4. https://keyhunters.ru/ecdsa-private-key-recovery-attack-via-nonce-reuse-also-known-as-weak-randomness-attack-on-ecdsa-critical-vulnerability-in-deterministic-nonce-generation-rfc-6979-a-dangerous-nonce-reuse-attack/
5. https://forklog.com/en/critical-vulnerability-found-in-bitcoin-wallet-chips/
6. https://github.com/demining/디지털 서명 위조 공격
7. https://forum.bits.media/index.php?%2Fblogs%2Fentry%2F3549-digital-signature-forgery-attack-%D0%BA%D0%B0%D0%BA-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8-cve-2025-29774-%D0%B8-%D0%B1%D0%B0%D0%B3-sighash_single-%D1%83%D0%B3%D1%80%D0%BE%D0%B6%D0%B0%D1%8E%D1%82-%D0%BC%D1%83%D0%BB %D1%8C%D1%82%D0%B8%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D0%BD%D1%8B%D0%BC-% D0%BA%D0%BE%D1%88%D0%B5%D0%BB%D1%8C%D0%BA%D0%B0%D0%BC-%D0%BC%D0%B5%D1%82%D 0%BE%D0%B4%D1%8B-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D0%B8-%D1%81-% D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%BC%D0%B8-rawtx%2F
8. https://openssl-library.org/news/vulnerabilities/
9. https://www.misp-project.org/objects.pdf
10. http://bitcoinwiki.org/wiki/deterministic-wallet
11. https://nodejs.org/api/crypto.html
12. https://kudelskisecurity.com/research/polynonce-a-tale-of-a-novel-ecdsa-attack-and-bitcoin-tears
13. https://cryptodeeptech.ru/digital-signature-forgery-attack/
14. https://www.hardwarewallet.it/en/guides-en/what-are-deterministic-bitcoin-wallets-and-how-do-they-work/
15. https://papers.ssrn.com/sol3/Delivery.cfm/9833ef33-7fcb-4433-b7bf-f34849019914-MECA.pdf?abstractid=5237492&mirid=1
16. https://sc1.checkpoint.com/documents/Jumbo_HFA/R80.30/R80.30/R80.30-List-of-all-Resolved-Issues.htm
17. https://en.bitcoin.it/wiki/Deterministic_wallet
18. https://bitvise.com/flowssh-version-history
19. https://www.sciencedirect.com/science/article/pii/S2666281722001676
20. https://cypherpunks.ca/~iang/pubs/cbautht-acns16.pdf
21. https://pycryptodome.readthedocs.io/en/v3.23.0/src/changelog.html

게시물 탐색