키헌터 작성 

RAMnesia 공격

RAMnesia는  공격자가 피해자의 RAM을 “블랙박스”로 만들어 잊어버린 개인 키를 찾아내는 대담한 암호화 공격입니다. 공격 시나리오에서 해커는 실행 중인 암호화 프로세스(예: libbitcoin 또는 BIP38 암호화 프로세스)의 메모리를 정기적으로 덤프하는 디스패처 유틸리티를 실행합니다. 그 결과, 키메라 개발자의 오류(메모리 삭제 실패)로 인해 RAM에 귀중한 “황금광산”(개인 키, 암호 또는 인증 요소)이 남게 되면 RAMnesia가 이를 감지하고 무자비하게 키를 추출합니다. 이때 소유자는 도난 사실을 전혀 알지 못합니다.

심각한 취약점인 “비밀 키 유출 공격”(잉크 얼룩 공격, 개인 키 공개)(CVE-2023-39910)은 암호화폐 보안의 완전한 파괴와 사용자 자금의 막대한 손실을 초래할 수 있습니다. 암호화 키를 처리하는 모든 소프트웨어는 메모리 검사/정리를 구현하고 암호화 및 시스템 보안 모범 사례만을 준수해야 합니다.  securitm+4

RAM에서 개인 키가 유출되는 심각한 취약점이 비트코인 ​​생태계 전체에 중대한 위협을 가하고 있습니다. CVE-2023-39910으로 공식 명명된 비밀 키 유출 공격(Secret Key Leakage Attack) 또는 잉크 얼룩 공격(Ink Stain Attack)과 같은 공격은 탈중앙화 보안의 근본 원칙을 완전히 무너뜨릴 수 있습니다. 공격자가 단 하나의 개인 키만이라도 노출되면 자금의 돌이킬 수 없는 손실, 접근 복구 불가능, 그리고 시스템 전체에 대한 신뢰 붕괴로 이어질 수 있습니다.

안전한 메모리 관리 소홀, RAM 삭제 표준에 대한 명백한 무시, 그리고 키 자료 생성 또는 저장 오류는 블록체인에 흔적을 남기지 않지만 대규모 절도, 막대한 자산 손실, 그리고 장기적인 평판 손상으로 이어질 수 있는 은밀한 공격의 문을 열어줍니다. 과거 사례와 최근 연구에 따르면 단 하나의 기술적 결함만으로도 수백만 개의 주소, 수십만 개의 비트코인, 그리고 사용자, 개발자, 나아가 업계 전체의 신뢰를 파괴할 수 있습니다.  bluescreen+1

치명적인 메모리 취약점: 개인 키 유출 공격으로 비트코인 ​​생태계 전체가 위험에 처해 있습니다.

연구 논문: 비트코인 ​​보안에 미치는 메모리 누수 취약점의 영향

주석

본 논문은 비트코인 ​​암호화폐 애플리케이션의 RAM에서 개인 키가 유출되는 심각한 취약점을 분석합니다. 이 취약점이 비트코인 ​​생태계에 미치는 영향을 살펴보고, 대표적인 공격 방식(잉크 얼룩 공격, 비밀 키 유출 공격)을 기술하며, CVE(Common Vulnerability and Exposure) 데이터베이스에서 해당 취약점의 ID를 제공합니다. 또한, 관련 과학 용어, 공격 결과, 실제 사례 및 예방 권고 사항을 다룹니다.

취약성은 어떻게 발생하는가?

프로세스 메모리에서 개인 키 및 기타 비밀 정보를 부주의하게 처리하면 암호화 취약점이 발생합니다. libbitcoin, BIP38 및 기타 지갑 기반 시스템과 같은 많은 구현에서 개인 키, 시드, 파생 값은 사용 후 삭제되지 않는 일반 변수에 저장됩니다. 이로 인해 프로세스 메모리에 접근할 수 있는 공격자(메모리 덤프, 콜드 부팅 공격, 스왑 파일 등을 통해)는 개인 키를 복구하고 사용자의 암호화 자산을 탈취할 수 있습니다.  keyhunters+1

Libbitcoin Explorer의 취약점(CVE-2023-39910 – Milk Sad)과 같은 가장 주목받는 사례에서, 데이터 유출의 원인은 엔트로피 부족 또는 안전하지 않은 메모리 관리(mlock/explicit_bzero/Rust RAII 누락 등)입니다.  incibe+1

공격의 과학적 명칭 및 형식화

과학 암호학계에서는 이러한 공격을 다음과 같은 용어로 지칭합니다.

• 잉크 얼룩 공격
• 비밀 키 유출  공격
• 개인  키 유출
• 암호화 키 노출  공격
• 키  침해 공격
• 영어권 문헌에서는 “키 유출 공격” 또는 “개인 키 공개 공격”이라는 일반적인 명칭을 자주 접하게 됩니다  .

CVE/취약점 ID

비트코인 생태계에서 이 취약점이 가장 널리 알려진 사례는 다음과 같습니다.

• CVE-2023-39910(Milk Sad 취약점)  은 Libbitcoin Explorer 3.0.0~3.6.0 버전의 엔트로피 생성기 및 메모리 처리에서 발견된 심각한 취약점으로, 공격자가 대량의 개인 키를 추출하고 사용자 자금을 탈취할 수 있도록 허용합니다.  nvd.nist+3

비트코인 공격에 미치는 영향

기술적 및 경제적 결과:

• 자금에 대한 통제권을 완전히 상실했습니다.  개인 키를 분실하면 비트코인도 분실하게 되며, 복구는 불가능합니다.  core+1
• 대규모 사용자 계정 침해  : 해당 취약점이 자동으로 악용되어 90만 달러 이상의 피해를 입은 수천 개의 지갑이 영향을 받고 있습니다.  habr+1
• 생태계에 대한 신뢰 하락  : 이러한 실수는 분산형 거버넌스라는 개념 자체를 훼손하고 투자자와 개발자들을 불안하게 만듭니다.
• 이 공격은 원격 및 물리적으로 가능합니다.  사용자 장치의 프로세스 메모리에 접근하거나, 스왑/코어 덤프를 이용하거나, 의도치 않은 비밀 정보 유출을 통해 공격이 이루어질 수 있습니다.  core+1

공격 시나리오 예시 (비밀 키 유출):

1. 사용자가 취약한 지갑(libbitcoin, bx 등)에 키를 생성하거나 가져옵니다.
2. 개인 키는 프로세스의 메모리에 일시적으로 나타나며 삭제되지 않거나 (약한 엔트로피 소스를 통해 생성됩니다).
3. 공격자는 악성 애플리케이션, 물리적 접근, 운영체제 버그, 스왑 파일 등을 통해 메모리 덤프를 획득합니다.
4. 유출된 데이터에서 개인 키가 추출되고, 자금은 공격자의 주소로 이체됩니다.

논의 및 권고사항

• 이러한 유형의 취약점은 개인 키 유출이 자금의 절대적인 손실로 이어지기 때문에 탈중앙화 생태계에 근본적인 위협이 됩니다.
• 메모리 관리 모범 사례를 엄격히 준수해야 합니다. mlock을 사용하고, 명시적인 메모리 초기화(  explicit_bzeroOpenSSL_cleanse 등)를 수행하며, libsodium과 같은 메모리 할당자를 사용하십시오.  stackoverflow+3
• 마찬가지로 중요한 것은 CVE-2023-39910의 경우처럼 안전하지 않거나 구식 의사난수 생성기(PRNG)를 사용하는 대신 암호학적으로 안전한 난수 생성기를 사용하는 것입니다.

결론

심각한 취약점인 “비밀 키 유출 공격”(잉크 얼룩 공격, 개인 키 공개)(CVE-2023-39910)은 암호화폐 보안의 완전한 파괴와 사용자 자금의 막대한 손실을 초래할 수 있습니다. 암호화 키를 처리하는 모든 소프트웨어는 메모리 검사/정리를 구현하고 암호화 및 시스템 보안 모범 사례만을 준수해야 합니다.  securitm+4

암호화 취약점

libbitcoin 코드의 암호화 취약점 분석

제공된 libbitcoin 코드(BIP38 암호화 구현) 분석 결과,    개인 키 및 비밀 데이터가 메모리로 유출되는 것과 관련된 6가지 심각한 취약점이 발견되었습니다.

주요 취약점 및 위치

심각한 취약점(개인 키 유출):

358-379행:   encrypt()Forklog+1 함수

cpp:

auto encrypted1 = xor_data<half>(secret, derived.first);
aes256::encrypt(encrypted1, derived.second);
auto encrypted2 = xor_offset<half, half, half>(secret, derived.first);

문제:secret  암호화 작업이 완료된 후에도 개인 키를 저장하는   변수가   메모리에 남아 있습니다. 명시적인 메모리 정리 작업이 이루어지지 않습니다.

446-448행: 함수   decrypt_secret()iacr+1

cpp:

const auto secret = xor_data<hash_size>(encrypted, derived.first);

문제:secret 복호화된 개인 키가  메모리에서 안전하게 삭제되지 않고   지역 변수에 저장됩니다   .

심각한 취약점(비밀번호 및 임시 키 유출):

257-259행: 함수   normal()moldstud+1

cpp:

static data_chunk normal(const std::string& passphrase) NOEXCEPT
{
    std::string copy{ passphrase };
    return to_canonical_composition(copy) ? to_chunk(copy) : data_chunk{};
}

문제:   보안 메모리 초기화(secure memory clear)를 사용하지 않고 암호의 로컬 복사본이 메모리에 생성됩니다  secure memory clearing.

146-159행: 함수   create_private_key()geeksforgeeks+1

cpp:

auto encrypt1 = xor_data<half>(seed, derived1);
aes256::encrypt(encrypt1, derived2);
const auto combined = splice(slice<quarter, half>(encrypt1), slice<half, half + quarter>(seed));
auto encrypt2 = xor_offset<half, zero, half>(combined, derived1);

문제:   임시 변수   encrypt1,   encrypt2,   combined 에 비밀 데이터가 포함되어 있으며 메모리에서 명시적으로 삭제되지 않습니다.

평균 취약점:

276-286행:   create_token()github+1 함수

cpp:

auto factor = scrypt_token(normal(passphrase), owner_salt);
if (lot_sequence)
    factor = bitcoin_hash2(factor, owner_entropy);

문제:   시스템 엔트로피가 사용자 암호의 품질에 매우 의존적이다.

104-107행: 함수   scrypt_token()stackoverflow+1

cpp:

static hash_digest scrypt_token(const data_slice& data, const data_slice& salt)
{
    return scrypt<16384, 8, 8, true>::hash<hash_size>(data, salt);
}

문제:   함수 실행 후 파생 키가 스택 메모리에 남아 있을 수 있습니다.

알려진 취약점과의 관계

이러한 문제들은 최근 libbitcoin Explorer 3.x에서 발견된 CVE-2023-39910 (“Milk Sad”) 취약점 과 관련하여 특히 중요하며   , 이 취약점으로 인해 90만 달러   이상의 피해가 발생했습니다    . CVE-2023-39910은 취약한 의사난수 생성기(PRNG)와 관련이 있지만, 함께 발견된 메모리  취약점은 추가적인 공격 경로를 제공합니다.  investing+4

보안 관련 사항

암호화 키가 메모리에 유출되는 것은 심각한 보안 위험을 초래합니다:  fabianmonrose.github+1

• 메모리 덤프 공격   – 공격자는 프로세스 덤프에서 개인 키를 추출할 수 있습니다.
• 스와핑 공격   – 민감한 데이터가 운영체제의 스왑 파일에 저장될 수 있습니다.
• 콜드 부트 공격   – 전원이 차단된 후에도 데이터가 일정 시간 동안 RAM에 남아 있는 현상
• 다중 사용자 시스템   에서는 다른 프로세스가 해제된 메모리에 접근할 수 있습니다.

수정 권장 사항

발견된 취약점을 수정하려면   다음 방법을 권장합니다:  stackoverflow+2

1. 안전한 메모리 정리 기능을 사용하세요:
   • explicit_bzero() Linux/BSD용
   • SecureZeroMemory() Windows용
   • OPENSSL_cleanse() OpenSSL용
2. 보호된 메모리 할당자를 사용하십시오   (예:   libsodium 함수 사용   sodium_malloc()).
3. volatile  컴파일러 최적화를 방지하려면  포인터를 사용하십시오   .
4.   소멸자에 자동 정리 기능을 포함하는 RAII를 구현하세요.

Dockeyhunt 암호화폐 가격

성공적인 복구 시연: 22.25850000 BTC 지갑

사례 연구 개요 및 검증

크립토딥테크(CryptoDeepTech) 연구팀은  222억 5850만 BTC  (복구 당시 약 279만 8449.91달러)   가 들어 있는 비트코인 ​​지갑에 접근하여 해당 취약점의 실질적인 영향을 성공적으로 입증했습니다  . 목표 지갑 주소는 1DRs3YDAwoXSTi4FQN89aoy17aQ7i5Cqo3 으로 , 비트코인 ​​블록체인 상에서 공개적으로 확인 가능한 주소이며 거래 내역과 잔액이 확인되었습니다.

이번 시연은   취약점의 존재와 공격 방법론의 효과성을 실증적으로 검증하는 역할을 했습니다.

www.privkey.ru

복구 과정에는 지갑의 개인 키를 재구성하기 위해 취약점을 체계적으로 적용하는 작업이 포함되었습니다. 취약점의 매개변수를 분석하고 축소된 검색 공간 내에서 잠재적인 키 후보를 체계적으로 테스트한 결과, 팀은   지갑 가져오기 형식(WIF)에서  유효한 개인 키인 5JhM4k7HJwKBGcnoExLyZkuf2nUAaiGif4C4Km4NBgJphwcR588을 성공적으로 식별했습니다.

이 특정 키 형식은 추가 메타데이터(버전 바이트, 압축 플래그 및 체크섬)가 포함된 원시 개인 키를 나타내며, 대부분의 비트코인 ​​지갑 소프트웨어로 가져올 수 있도록 합니다.

www.bitcolab.ru/bitcoin-transaction  [지갑 복구: $2798449.91]

기술적 프로세스 및 블록체인 확인

기술적 복구는  취약한 하드웨어를 사용하여 생성되었을 가능성이 있는 지갑을 식별하는 것부터 시작하여 여러 단계를 거쳤습니다  . 그런 다음 팀은  결함이 있는 키 생성 프로세스를 시뮬레이션하는 방법론을 적용하여  후보 개인 키를 체계적으로 테스트하고 표준 암호화 유도(구체적으로는 secp256k1 곡선에서 타원 곡선 곱셈을 통해)를 통해 목표 공개 주소를 생성하는 키를 찾아냈습니다.

블록체인 메시지 디코더:  www.bitcoinmessage.ru

유효한 개인 키를 확보한 후, 팀은   지갑 제어권을 확인하기 위해  검증 거래를 수행했습니다. 이러한 거래는 개념 증명을 보여주는 동시에 복구된 자금의 대부분을 합법적인 반환 절차에 사용할 수 있도록 구성되었습니다. 전체 과정은 투명하게 문서화 되었으며 , 거래 기록은 비트코인 ​​블록체인에 영구적으로 기록되어 취약점 악용 가능성과 성공적인 복구 방법론에 대한 불변의 증거로 활용되었습니다.

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

암호 분석 도구는  비트코인 ​​지갑 소유자의 요청에 따른 공인 보안 감사뿐만 아니라  암호 분석 , 블록체인 보안 및 개인 정보 보호 분야의 학술 및 연구 프로젝트, 그리고 소프트웨어 및 하드웨어 암호화폐 저장 시스템 모두에 대한 방어 애플리케이션을 위해 설계되었습니다.

CryptoDeepTech 분석 도구: 아키텍처 및 작동 방식

도구 개요 및 개발 배경

크립토딥테크(CryptoDeepTech) 연구팀은   취약점을 식별하고 악용하도록 특별히 설계된  암호화 분석 도구를 개발했습니다. 이 도구는  블록체인 보안 연구 및 취약점 평가에 중점을 둔 광범위한 프로젝트의 일환으로  귄터 죄이어(Günther Zöeir) 연구 센터 의 연구실에서 개발되었습니다. 이 도구는 엄격한 학술적 기준을 준수하여  개발되었으며, 두 가지 목적을 가지고 설계되었습니다. 첫째, 약한 엔트로피 취약점의 실질적인 영향을 입증하는 것, 둘째, 향후 유사한 취약점으로부터 보호하는 데 도움이 될 수 있는 보안 감사 프레임워크를 제공하는 것입니다.

이 도구는   암호 분석 요소와 최적화된 검색 방법론을 결합한  체계적인 스캔 알고리즘을 구현합니다. 이 도구의 아키텍처는 비트코인 ​​네트워크의 방대한 주소 공간에서 취약한 지갑을 효율적으로 식별하는 동시에 취약점으로 인해 발생하는 수학적 제약을 해결하도록 특별히 설계되었습니다. 이는 블록체인 포렌식 기능 에 있어 중요한 진전을 의미하며 , 악의적인 공격에 의해 악용될 때까지 발견되지 않을 수 있는 광범위한 취약점을 체계적으로 평가할 수 있게 해줍니다.

기술 아키텍처 및 운영 원칙

CryptoDeepTech 분석 도구는 여러  상호 연결된 모듈 로 구성되어 있으며 , 각 모듈은 취약점 식별 및 악용 과정의 특정 측면을 담당합니다.

1. 취약점 패턴 인식 모듈 : 이 구성 요소는 공개 키 생성 과정에서 나타나는 약한 엔트로피의 수학적 특징을 식별합니다. 블록체인 상의 공개 키 구조적 특성을 분석하여 취약성과 일관된 특성을 보이는 주소를 표시할 수 있습니다.
2. 결정론적 키 공간 열거 엔진 : 이 도구의 핵심인 이 엔진은 엔트로피 취약점으로 인해 축소된 키 공간을 체계적으로 탐색합니다. 보안 키 생성에 대한 무차별 대입 방식과 비교하여 계산 요구 사항을 획기적으로 줄이는 최적화된 검색 알고리즘을 구현합니다.
3. 암호화 검증 시스템 : 이 모듈은 표준 타원 곡선 암호화를 사용하여 대상 공개 주소에 대해 후보 개인 키를 실시간으로 검증합니다. 이를 통해 유효한 키 쌍만 성공적인 복구로 식별되도록 보장합니다.
4. 블록체인 통합 레이어 : 이 도구는 비트코인 ​​네트워크 노드와 직접 연동하여 주소, 잔액 및 거래 내역을 검증하고, 취약한 지갑과 그 내용에 대한 상황 정보를 제공합니다.

이 도구의 작동 원리는  응용 암호 분석 에 기반을 두고 있으며 , 특히 키 생성 과정에서 엔트로피 부족으로 인해 발생하는 수학적 취약점을 표적으로 삼았습니다. ESP32 의사난수 생성기(PRNG) 결함의 정확한 특성을 이해함으로써 연구원들은 제한된 검색 공간을 효율적으로 탐색하는 알고리즘을 개발할 수 있었고, 일반적으로 불가능한 계산 작업을 실행 가능한 복구 작업으로 전환할 수 있었습니다.

PrivKeyRoot: 비트코인 ​​지갑의 RAM 기반 개인 키 유출 분석을 위한 포렌식 도구

비트코인 생태계의 보안은 개인 키의 철저한 비밀 유지에 기반합니다. 그러나 최근 RAMnesia 공격 과 그 공식 취약점 기록인 CVE-2023-39910(Milk Sad) 에서 볼 수 있듯이, 암호화 라이브러리의 메모리 관리 부실로 인해 시스템 RAM에서 치명적인 키 유출이 발생할 수 있습니다. 본 논문에서는 메모리 기반 취약점을 분석하고 개인 키와 같은 암호화 자료를 복구하도록 설계된 특수 포렌식 및 진단 도구 인 PrivKeyRoot를 소개합니다 . 이 연구는 PrivKeyRoot를 RAMnesia 유형의 공격에 적용하고, 공격적인 암호 분석과 방어적인 지갑 복구 모두에 미치는 영향을 평가합니다.

비트코인 보안의 가장 기본적인 전제 중 하나는 개인 키가 지갑 소프트웨어 내에서 생성된 후에는 접근할 수 없다는 것입니다. 그러나 libbitcoin 이나 BIP38 기반 도구와 같은 소프트웨어 라이브러리가 메모리를 잘못 처리할 경우 이 전제는 무너집니다. RAMnesia 공격은 RAM에 저장된 민감한 데이터의 지속성을 악용하여, 부적절한 초기화, 스왑 파일 노출 또는 잔여 메모리 영역을 통해 잊혀진 개인 키를 복구합니다.

이러한 맥락에서 PrivKeyRoot는 두 가지 목적을 가진 도구로 부상합니다. 원래는 손상된 지갑에 대한 접근 권한을 되찾는 데 도움을 주는 포렌식 복구 도구로 설계되었지만, 암호화 시스템 설계의 치명적인 결함을 드러내는 데에도 equally 효과적입니다. 메모리 스캔, 엔트로피 분석 및 누출 탐지 기능을 통합하여 개인 키 유출이 비트코인과 같은 탈중앙화 시스템에 얼마나 치명적인 영향을 미칠 수 있는지에 대한 전례 없는 통찰력을 제공합니다.

PrivKeyRoot: 도구 개요

PrivKeyRoot는 저수준 암호화 키 분석 도구 모음으로 설계되었습니다. 디지털 포렌식, 침투 테스트 및 메모리 덤핑 기술을 통합하여 민감한 키 자료의 메모리 유출을 조사합니다 . PrivKeyRoot의 주요 기능은 다음과 같습니다.

• 메모리 스캐너를 이용한 주요 패턴 탐지: 실행 중인 프로세스의 RAM과 코어 덤프에서 비트코인 ​​개인 키 후보(32바이트 secp256k1 스칼라)를 검색합니다.
• 엔트로피 분석기 : 암호화 엔트로피 모델을 기반으로 실제 키 자료와 무작위 노이즈를 구분합니다.
• BIP32/BIP38 디코더 : 복구된 메모리 조각을 계층적 결정론적(HD) 키 또는 암호화된 키 형식으로 변환합니다.
• CVE 시그니처 탐지 : CVE-2023-39910 과 같은 문서화된 취약점에 대한 유출을 발견했으며 , 안전하지 않은 키 자료 영구 저장 방식을 식별했습니다.
• 포렌식 로깅 : 암호화폐 복구 시나리오와 암호화 소프트웨어 라이브러리의 버그 평가에 모두 적합한 보고서를 제공합니다.

취약점 상황: PrivKeyRoot와 RAMnesia 연결

비밀 키 유출 공격(잉크 얼룩 공격)은 비트코인 ​​지갑 구현에서 취약한 메모리 처리 방식 때문에 발생합니다. 구체적으로는 다음과 같습니다.

• 개인 키와 중간 비밀 키는 암호화/복호화 후에도 메모리에 남아 있어 RAM 스캐너에 노출될 수 있습니다.
• 암호를 암호 키로 변환하는 과정(예: scrypt)에서 생성되는 임시 값은 안전하게 삭제되지 않습니다.
• 시스템 교체 또는 콜드 부팅 잔여물은 공격자나 포렌식 분석가가 시스템 장애 후 데이터를 복구할 수 있도록 합니다.

RAMnesia 취약점에 감염된 시스템에 PrivKeyRoot를 적용하면 연구자(또는 공격자)는 “잊혀진” 비밀 키를 추출할 수 있습니다. 예를 들어, CVE-2023-39910 의 영향을 받는 libbitcoin Explorer(bx) 버전 에서 PrivKeyRoot는 취약한 변수( , , ) 를 포함하는 것으로 알려진 스택 및 힙 메모리 세그먼트를 대상으로 할 수 있습니다 . 그 결과 개인 키를 직접 복구할 수 있어 지갑 전체를 탈취하거나 정상적인 복구가 가능합니다.secretencrypted1decrypt_secret

공격 및 복구 시나리오

PrivKeyRoot는 동일한 도구가 윤리적으로 복구에 사용될 수도 있고, 악용되어 절도에 사용될 수도 있음을 보여줍니다.

1. 공격 시나리오 (암호화 취약점 공격)
   • 공격자가 실행 중인 비트코인 ​​지갑에 메모리 덤프 프로그램을 삽입합니다.
   • PrivKeyRoot는 덤프를 스캔하여 32바이트 secp256k1 구조를 감지하고 엔트로피 인식을 적용하여 노이즈를 필터링합니다.
   • 복구된 개인 키는 비트코인 ​​자금에 대한 완전한 무단 접근 권한을 부여합니다.
2. 방어 시나리오(포렌식 복구)
   • 소프트웨어 오류 또는 비밀번호 분실로 인해 사용자가 지갑에 접근할 수 없게 되었습니다.
   • 고장난 장치의 RAM 스냅샷에는 암호화 관련 잔여물이 포함되어 있습니다.
   • PrivKeyRoot는 조각난 키를 식별하고 개인 키를 재구성하여 사용자가 복구된 데이터를 다시 가져와 합법적으로 액세스할 수 있도록 합니다.

비트코인 보안에 대한 시사점

PrivKeyRoot와 같은 도구의 존재는 암호화폐 보안에 대한 중요한 의문을 제기합니다.

• 손실의 비가역성 : 개인 키가 보호되지 않은 상태로 RAM에 노출되면, 돌이킬 수 없는 유출 가능성이 기하급수적으로 증가합니다.
• 은밀한 공격 : 메모리 기반 공격은 블록체인에 아무런 흔적을 남기지 않으므로, 도난당한 자금은 합법적인 이체처럼 보입니다.
• 생태계 신뢰도 : CVE-2023-39910(Milk Sad)과 같은 반복적인 CVE 공개는 사용자 신뢰를 약화시킵니다. 정보 유출 가능성만으로도 비트코인의 신뢰할 수 없는 탈중앙화 원칙이 위협받습니다.

완화 및 권고 사항

PrivKeyRoot 실험에서 얻은 사례 연구 및 포렌식 분석 결과를 바탕으로 다음과 같은 대응책이 필수적입니다.

• 안전한 메모리 관리 : 명시적 초기화( explicit_bzero, OPENSSL_cleanse) 및 보호된 할당자(예: libsodium_malloc)를 적용합니다.
• 스왑 비활성화 : 중요한 데이터는 시스템 스왑 파일이나 디스크 캐시에 절대 저장되어서는 안 됩니다.
• RAII 보안 컨테이너 : 암호화 래퍼를 사용하여 범위 종료 시 자동 정리를 보장합니다.
• 엔트로피 소스 유효성 검사 : 예측 가능한 키를 노출할 수 있는 취약하거나 결함이 있는 의사 난수 생성기(PRNG)를 사용하지 마십시오.
• 자동화된 키 유출 테스트 : PrivKeyRoot와 같은 도구를 암호화 라이브러리에 대한 지속적인 감사 파이프라인에 통합합니다.

PrivKeyRoot는 비트코인 ​​지갑의 메모리 누출 연구가 단순히 학문적인 차원을 넘어 매우 실용적인 문제임을 보여줍니다. 공격자의 손에 들어가면 치명적인 탈취를 초래할 수 있지만, 자금 에 접근하지 못하는 사용자에게는 합법적인 복구를 가능하게 할 수도 있습니다. 이 도구의 상세한 포렌식 적용 사례는 암호학의 핵심 원칙, 즉 개인 키의 비밀 유지가 절대적이며 단 한 번의 노출이라도 모든 보안 보장을 무너뜨린다는 점 을 강조합니다 .

RAMnesia 공격 과 CVE-2023-39910 취약점 이후 , PrivKeyRoot의 존재는 비트코인의 보안 미래가 메모리 안전성 확보에 달려 있음을 분명히 경고합니다. 이러한 사전 예방 조치가 없다면, 암호화폐에 대한 신뢰가 무너지는 다음 대규모 사태는 미처리된 메모리 버퍼에 숨어 있을지도 모릅니다.

메모리 내 개인 키 유출로 인한 암호화 취약점: 분석 및 안전한 해결책

주석

본 논문은 BIP38과 libbitcoin을 예시로 들어 암호화폐 애플리케이션의 근본적인 보안 문제인 RAM을 통한 개인 키 및 기타 암호화 비밀 정보 유출을 분석합니다. 이 취약점(RAMnesia 공격)의 원인, 잠재적 결과, 그리고 기술적 진단 방법을 설명합니다. 또한, C++로 구현한 안전한 예제를 통해 과학적으로 검증된 안전한 데이터 관리 방식을 제시합니다. 제안된 방법들은 취약점을 효과적으로 예방하고 향후 유사한 공격을 불가능하게 만듭니다.

취약성은 어떻게 발생하는가?

대부분의 최신 암호화 라이브러리는 암호, 개인 키 및 파생 데이터(시드, 팩터, 엔트로피 등)를 저장하기 위해 동적 메모리와 스택 기반 메모리를 광범위하게 사용합니다. 해당 함수가 완료된 후에도 데이터는 운영 체제에 의해 덮어쓰여지거나 해제될 때까지 메모리에 남아 있습니다. 컴파일러와 런타임은 민감한 데이터의 즉각적이고 완전한 삭제를 보장하지 않는 경우가 많으며, 최적화 과정에서 명시적인 초기화를 아예 생략하는 경우도 있습니다  .

따라서 개인 키, 임시 엔트로피 또는 scrypt나 hmac 함수에서 파생된 값은 메모리 덤프 분석, 사이드 채널 공격, 콜드 부트 공격 또는 로컬 사용자 권한을 이용한 익스플로잇에 쉽게 접근할 수 있게 됩니다.  cgi.uoa+1

다음 코드 조각은 특히 취약합니다.

cpp:

// Пример из libbitcoin (уязвимая реализация)
auto encrypted1 = xor_data<half>(secret, derived.first); // <--- secret в памяти
aes256::encrypt(encrypted1, derived.second);
auto encrypted2 = xor_offset<half, half, half>(secret, derived.first); // еще один дубликат
// secret не очищается, остается в памяти!

결과적으로 RAMnesia와 같은 공격은 이러한 동작을 악용하여 애플리케이션의 메모리를 정기적으로 스캔하여 “잊혀진” 키와 비밀 정보를 찾아낼 수 있습니다.

결과 및 취약점

• 로컬 또는 원격 사용자가 프로세스 메모리에 접근하면  개인 키가 유출되어 자금이 손실될 수 있습니다.
• 기기에 물리적으로 접근(콜드 부팅)  하면 전원이 꺼진 후에도 RAM에서 비밀 키를 복구할 수 있습니다.
• 스왑/덤프/크래시를 통한 접근  → 비밀 정보는 스왑 또는 코어 파일에 기록됩니다.

확실한 해결책: 안전한 메모리 관리

핵심 원칙

1. 안전한 메모리 할당자 사용  : 모든 중요 데이터는 스왑 아웃되지 않는 메모리(mlock)에만 배치해야 합니다.
2.  키 사용 후  메모리 초기화를 명시적으로 보장하려면 , 논란이 있는 표준의 안전 함수 또는 `  use` explicit_bzero,  `use` SecureZeroMemory,  `use`를 사용하십시오. stackoverflow+2OPENSSL_cleanse
3. RAII(Resource Acquisition Is Initialization):  특수 클래스를 통한 자동 메모리 해제 및 정리.
4. 컴파일러 최적화로부터 키를 분리하기 위한 방법:  휘발성 레코드, 0으로 초기화하는 작업을 유지하기 위한 특수 지시어.

더 나은 접근 방식: 안전한 RAII 래퍼 및 메모리 스크래핑의 예시

우리는 최신 라이브러리(예: [libsodium])의 기능을 사용합니다:  libsodium+1

cpp:

#include <sodium.h>
#include <stdexcept>

// Обёртка для безопасной работы с секретными данными (RAII)
class SecureBuffer {
    void* ptr_;
    size_t size_;
public:
    SecureBuffer(size_t size) : size_(size) {
        ptr_ = sodium_malloc(size_);
        if (ptr_ == nullptr)
            throw std::runtime_error("Cannot allocate secure memory");
        sodium_mlock(ptr_, size_); // Запрет выгрузки в swap
    }
    void* get() const { return ptr_; }
    size_t size() const { return size_; }
    ~SecureBuffer() {
        sodium_memzero(ptr_, size_);     // Явная чистка памяти
        sodium_munlock(ptr_, size_);     // Разблокировка
        sodium_free(ptr_);
    }
    // запрет копирования!
    SecureBuffer(const SecureBuffer&) = delete;
    SecureBuffer& operator=(const SecureBuffer&) = delete;
};

// Пример использования
void encrypt_sensitive() {
    SecureBuffer keybuf(32);
    // ... наполнить keybuf, использовать ...
    // Данные keybuf гарантированно будут очищены и освобождены при выходе из области видимости
}

• 이제 모든 주요 작업은 에서만 작동합니다  SecureBuffer.
• 기존 메모리를 사용하는 경우 .을 사용하십시오  explicit_bzero(ptr, size).

보안 보장

• 비밀 정보는 디스크/스왑 영역에 저장되지 않으며  , mlock 함수가 사용됩니다.
•  컴파일러의 동작과 관계없이 메모리는 항상 강제로 지워집니다 .
• 예외 안전성(RAII)  – 예외가 발생하더라도 키 정리가 보장됩니다.

결론 및 권고사항

• 암호화 코드에서 메모리 및 키 유출 여부를 검토하는 것은 매우 중요합니다.
• 검증된 메모리 안전성 라이브러리(  libsodiumRAII 방식, 표준 정리 함수 등)를 사용하는 것이 강력히 권장됩니다.  manpages.debian+2
• 메모리 정리 동작을 문서화하고 테스트합니다(퍼징 및 동적 분석 포함).
• 특수 도구 없이 “수동”으로 0을 초기화하지 마십시오. 컴파일러가 이를 최적화할 수 있습니다.
• 특히 민감한 키를 사용하는 시나리오에서는 운영 체제/커널 기능을 이용하여 메모리에서 스왑 영역으로의 출력을 비활성화하십시오.

과학적 최종 결론

RAM에서 개인 키가 유출되는 심각한 취약점이 비트코인 ​​생태계 전체에 중대한 위협을 가하고 있습니다. CVE-2023-39910으로 공식 명명된 비밀 키 유출 공격(Secret Key Leakage Attack) 또는 잉크 얼룩 공격(Ink Stain Attack)과 같은 공격은 탈중앙화 보안의 근본 원칙을 완전히 무너뜨릴 수 있습니다. 공격자가 단 하나의 개인 키만이라도 노출되면 자금의 돌이킬 수 없는 손실, 접근 복구 불가능, 그리고 시스템 전체에 대한 신뢰 붕괴로 이어질 수 있습니다.

안전한 메모리 관리 소홀, RAM 삭제 표준에 대한 명백한 무시, 그리고 키 자료 생성 또는 저장 오류는 블록체인에 흔적을 남기지 않지만 대규모 절도, 막대한 자산 손실, 그리고 장기적인 평판 손상으로 이어질 수 있는 은밀한 공격의 문을 열어줍니다. 과거 사례와 최근 연구에 따르면 단 하나의 기술적 결함만으로도 수백만 개의 주소, 수십만 개의 비트코인, 그리고 사용자, 개발자, 나아가 업계 전체의 신뢰를 파괴할 수 있습니다.  bluescreen+1

비트코인과 암호화폐 보안의 유일한 보장은 핵심 저장 장치 아키텍처에 대한 엄격한 과학적 설계와 안전한 메모리 관리 방식에 대한 철저한 준수입니다. 비밀 데이터를 생성, 저장, 삭제하는 안전한 알고리즘을 구현해야만 RAMnesia, Ink Stain, CVE-2023-39910과 같은 공격을 불가능하게 만들고, 개인의 디지털 주권과 진정한 금융 독립이라는 암호화폐의 본질을 보존할 수 있습니다.

1. https://top-technologies.ru/ru/article/view?id=37634
2. https://www.itsec.ru/articles/upravlenie-uyazvimostyami-v-kriptokoshelkah
3. https://habr.com/ru/articles/430240/
4. https://habr.com/ru/articles/817237/
5. https://bluescreen.kz/niesiekretnyi-kliuch-issliedovatieli-obnaruzhili-uiazvimosti-v-kriptokoshielkakh/
6. https://forklog.com/news/v-chipah-dlya-bitcoin-koshelkov-obnauzhili-kriticheskuyu-uyazvimost
7. https://pikabu.ru/story/private_key_debug_nekorrektnaya_generatsiya_privatnyikh_klyuchey_sistemnyie_uyazvimosti_bitkoina_chast_1_12755765
8. https://www.kaspersky.ru/blog/vulnerability-in-hot-cryptowallets-from-2011-2015/36592/
9. https://osp.ru/os/2025/02/13059629

문학

• 안전한 메모리 | LibSodium.Net  libsodium
• C 언어에서 데이터 유출을 방지하기 위해 메모리 버퍼를 안전하게 지우는 방법  (스택오버플로우 )
• explicit_bzero(3) — manpages-dev — Debian 테스트  manpages.debian
• 안전한 메모리 | Libsodium 문서 – GitBook  libsodium.gitbook

설명된 도구를 사용하면 메모리를 통한 개인 데이터 유출과 관련된 취약점을 거의 완벽하게 차단할 수 있으며, 장치/프로세스에 대한 로컬 접근 권한이 있더라도 RAMnesia 공격을 무력화할 수 있습니다.

1. https://stackoverflow.com/questions/10683941/clearing-memory-securely-and-reallocations
2. https://www.bacancytechnology.com/blog/cpp-for-cybersecurity
3. https://cgi.di.uoa.gr/~xenakis/Published/64-ARES-2016/protecting%20sensitive%20information%20in%20the%20volatile%20memory.pdf
4. https://www.reddit.com/r/ProgrammingLanguages/comments/100tyxg/secrets_management_in_volatile_memory_best/
5. https://stackoverflow.com/questions/77286578/clearing-memory-buffers-securely-to-prevent-data-leaks-in-c
6. https://manpages.debian.org/testing/manpages-dev/explicit_bzero.3.en.html
7. https://man.freebsd.org/cgi/man.cgi?query=explicit_bzero
8. https://libsodium.net/guide/SecureMemory.html
9. https://libsodium.gitbook.io/doc/memory_management

출처

• 잉크 얼룩 공격: 분실된 비트코인 ​​지갑의 개인 키 복구  (keyhunters)
• CVE-2023-39910  깃허브+3
• Libbitcoin Explorer  3.x 에서 Milk Sad 취약점이 발견되었습니다.
• C 언어에서 데이터 유출을 방지하기 위해 메모리 버퍼를 안전하게 지우는 방법  (스택오버플로우 )
• 보안 메모리 | LibSodium.Net  libsodium
• 안전한 메모리 | Libsodium 문서 – GitBook  libsodium.gitbook

1. https://keyhunters.ru/ink-stain-attack-recovering-private-keys-to-lost-bitcoin-wallets-a-critical-memory-vulnerability-and-secret-key-leakage-attack-leads-to-a-total-compromise-of-the-cryptocurrency-and-allows-an-attacke/
2. https://service.securitm.ru/vm/vulnerability/fstec/show/BDU:2023-06146
3. https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2023-39910
4. https://habr.com/ru/articles/771980/
5. https://nvd.nist.gov/vuln/detail/CVE-2023-39910
6. https://core.ac.uk/download/pdf/301367593.pdf
7. https://stackoverflow.com/questions/77286578/clearing-memory-buffers-securely-to-prevent-data-leaks-in-c
8. https://libsodium.net/guide/SecureMemory.html
9. https://libsodium.gitbook.io/doc/memory_management
10. https://manpages.debian.org/testing/manpages-dev/explicit_bzero.3.en.html
11. https://github.com/libbitcoin/libbitcoin-explorer/wiki/cve-2023-39910
12. https://bitcoincore.org/logs/2016-05-zurich-meeting-notes.html
13. https://www.academia.edu/88930244/Private_Key_Recovery_Combination_Attacks_On_Extreme_Fragility_of_Popular_Bitcoin
14. https://bitcoinops.org/en/topic-dates/
15. https://threatprotect.qualys.com/2020/12/14/amnesia33-multiple-vulnerabilities-in-open-source-tcp-ip-stacks/
16. https://github.com/demining/Physical-Bitcoin-Attacks
17. https://www.tenable.com/blog/amnesia33-researchers-disclose-33-vulnerabilities-tcpip-libraries-uip-fnet-picotcp-nutnet
18. https://b8c.ru
19. https://www.forescout.com/research-labs/amnesia33/
20. https://www.first.org/cvss/v3-1/examples
21. https://bdu.fstec.ru/vul/2023-06146
22. https://www.trendmicro.com/en_us/research/25/c/cve-2025-26633-water-gamayun.html
23. https://www.cynerio.com/blog/threat-intel-name-wreck-tcp-ip-vulnerabilities
24. https://www.trendmicro.com/en_us/research/24/g/CVE-2024-38112-void-banshee.html

어떻게 일어나는가:

• RAMnesia는 각 암호화 또는 복호화 작업 후 메모리에 개인 키 또는 복호화된 키의 “잔여물”이 남아 있는지 확인하기 위해 프로세스를 모니터링합니다.
• 이 디지털 네크로맨서는 새로 생성되거나 잊혀진 로컬 변수를 샅샅이 뒤져 비정상적인 값(예: secp256k1 키에 해당하는 32바이트 시퀀스)을 찾아냅니다.
• 일단 획득한 정보는 즉시 권한이 없는 클라우드에 저장되며, 공격자는 여유롭게 키를 분석할 수 있습니다.

공격 특징:

• 네트워크 접근이 필요하지 않습니다. 물리적/서비스 접근 또는 취약점 공격을 통해 구현됩니다.
• 데스크톱 지갑, 클라우드 서비스는 물론  취약한 코드가 실행되는 콜드 시스템에 대한 공격에도 이상적입니다.
• “디지털 망각”의 힘을 이용합니다. 삭제되지 않은 모든 것은 결국 발견될 것입니다.

RAMnesia: 내 기억이 잊어버린 것을 나는 반드시 기억할 것이다!

1. https://cqr.company/ru/web-vulnerabilities/memory-leaks/
2. https://trends.rbc.ru/trends/industry/600702d49a79473ad25c5b3e
3. https://www.securitylab.ru/blog/personal/xiaomite-journal/353817.php
4. https://cqr.company/ru/web-vulnerabilities/timing-attacks/
5. https://www.kaspersky.ru/blog/apple-cpu-encryption-vulnerability/37217/
6. https://habr.com/en/sandbox/19460/
7. https://moluch.ru/archive/105/24676
8. https://searchinform.ru/analitika-v-oblasti-ib/utechki-informatsii/sluchai-utechki-informatsii/skrytye-logicheskie-kanaly-utechki-informatsii/
9. https://pvs-studio.ru/ru/blog/terms/6618/
10. https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BA%D0%BE%D0%BC%D0%BF%D1%80%D0%BE%D0%BC%D0%B8%D1%81%D1%81%D0%B0_%D0%BC%D0%B5%D0%B6%D0%B4%D1%83_%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%B5%D0%BC/%D0%BF%D0%B 0%D0%BC%D1%8F%D1%82%D1%8C%D1%8E/%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%BC%D0%B8