키헌터 작성 

비트코인 디지털 서명에서 논스(nonce) 재사용과 관련된 심각한 암호화 취약점은 전체 블록체인 시스템의 보안을 위협하는 근본적인 문제입니다.   논스 재사용 공격(Nonce Reuse Attack  )으로 알려진 이 공격은 공격자에게 백도어를 제공합니다. 공격자는 하나의 개인 키에 대해 동일한 논스를 사용하는 두 개의 서명을 획득함으로써 소유자의 개인 키를 쉽게 복구하고 자금을 탈취할 수 있습니다. 이러한 위협은 이론적인 것이 아닙니다. 비트코인의 실제 역사에서 유사한 공격을 통해 해커들이 수백 개의 비트코인을 훔쳐간 사례가 있습니다.

“치명적인 논스 재사용 취약점: 비트코인 ​​암호화폐 보안에 대한 치명적인 공격”

Stolen Echo Attack: Deadly Resonance of the Nonce는  취약점의 본질과 심각성을 강조하고, 비트코인 ​​암호화폐 생태계 전체에 대한 실질적인 위험성을 보여줍니다.  notsosecure+2

연구 논문: 비트코인 ​​암호화폐 보안에 미치는 Nonce 재사용이라는 치명적인 암호화 취약점의 영향

소개

비트코인은 디지털 서명을 사용하여 거래를 확인하고 사용자 자금을 보호합니다. 슈노르(Schnorr) 방식과 뮤시그2(MuSig2) 프로토콜을 포함한 최신 구현 방식에서는 각 서명에 대해 생성되는 난수인 논스(nonce)가 고유하고 예측 불가능해야 합니다. 이 속성을 위반하면 가장 위험한 암호화 위협 중 하나인 논스 재사용 공격으로 이어지며, 이는 전체 비트코인 ​​생태계의 보안에 심각한 결과를 초래합니다.  keyhunters+2

취약점에 대한 설명

발생 기전

동일한 개인 키를 사용하는 여러 메시지의 서명에 동일한 논스(kkk)가 사용될 경우 심각한 취약점이 발생합니다. 이는 구현 오류, 취약한 난수 생성기 또는 보조 난수(aux_rand)의 부적절한 관리로 인해 발생할 수 있습니다. 학술 연구에 따르면, 논스 재사용 또는 예측 가능성으로 인해 공격자는 다음과 같은 변환을 사용하여 두 서명에서 개인 키를 추출할 수  있습니다  .

여기서 s1, s2s_1, s_2s1, s2는 서명 값이고, H(m1), H(m2)H(m_1), H(m_2)H(m1), H(m2)는 서로 다른 메시지의 해시값이며, xxx는 개인 키입니다.

공격의 과학적 명칭

과학 문헌과 업계에서는 이러한 공격을   논스 재사용   공격(Nonce Reuse Attack), 때로는   반복 논스 공격(Repeated Nonce Attack)  ,   가상 되감기 공격(Virtual Rewinding Attack)   또는   디지털 서명의 논스 재사용에 대한 사이드 채널 공격(Side-channel attack)이라고 부릅니다  .  arxiv+4

비트코인 보안에 미치는 영향

• 개인 키 분실:   공격이 성공하면 공격자는 개인 키를 복구하여 사용자의 자금에 접근할 수 있습니다.  christian-rossow+2
• 거래 변조:   공격자는 사용자를 대신하여 어떤 거래든 서명할 수 있으며, 이는 비트코인 ​​탈취로 이어질 수 있습니다.
• 다중 서명 보안 취약점:   MuSig2의 경우, 한 참가자의 실수로 모든 서명자의 자금 손실이 발생할 수 있습니다.
• 네트워크에 대한 신뢰 훼손:   이러한 공격이 확산되면 비트코인 ​​암호화폐 전체의 안정성과 평판이 위협받게 됩니다.  acm+2
• 실제 사례:   과학적인 블록체인 모니터링에 따르면 이러한 유형의 공격으로 수백만 달러의 피해가 발생했습니다.  christian-rossow+1

CVE 번호 및 인정 상태

이 글이 발행된 시점(2025년 9월) 기준으로, 비트코인의 Schnorr/MuSig2 구현에서 발견되는 nonce 재사용 취약점은 아직   공식적으로 개별 CVE 번호를 부여받지 못했지만  , 관련 사례가 여러 건 있습니다:  access.redhat+2

• CVE-2025-9288 (RedHat, 2025, “nonce 재사용으로 인한 개인 키 추출과 같은 간접적인 암호화 취약점”).  access.redhat
• CVE-2015-6924(“Nonce 재사용 공격, 즉 난수를 반복적이거나 예측 가능하게 사용하는 공격”).  feedly
• 과학 논문과 산업 문서에서는 해당 취약점과 공격 방식을 Nonce Reuse Attack으로 명확하게 분류하고, 그 결과에 대한 자세한 분석을 제공합니다  .

권장 사항 및 안전 수칙

• RFC6979/BIP340 표준에 따른 결정론적 nonce 생성 구현;
• 암호학적으로 안전한 난수 생성 소스를 사용합니다.
• 지갑 소프트웨어 수준에서 nonce 재사용을 추적하고 방지합니다.
• 정기적인 보안 감사를 통과하고 취약한 라이브러리를 업데이트합니다.
• 모든 다중 서명 구현 방식에 대한 테스트를 진행합니다.  keyhunters+2

결론

논스 재사용 공격(CVE-2025-9288로 CVE에 등재되기도 함)은 비트코인 ​​사용자의 개인 키와 자금을 완전히 탈취할 수 있는 근본적인 암호화 위협입니다. 이는 논스 생성 표준 및 업계 모범 사례를 엄격히 준수해야만 예방할  수 있습니다. 다중 서명 기술과 새로운 암호화 솔루션이 발전함에 따라, 연구원과 개발자는 세계 최대 암호화폐의 보안과 복원력을 보장하기 위해 이러한 문제에 집중해야 합니다. 

암호화 취약점

btcsuite/musig2 코드의 암호화 취약점: 개인 키 유출 위협 분석

제공된 btcsuite musig2 코드에 대한 상세한 분석과 MuSig2에 대한 암호화 공격 관련 문서를 검토한 결과, 잠재적인 비밀 키 유출 취약점을 포함하는 몇몇 중요한 코드 라인을 확인했습니다.

주요 취약점: Nonce 재사용 공격 에 대한 보호 기능 부족  

해당 코드의 주요 암호화 취약점은   논스 재사용 공격(Nonce Reuse Attack)에 대한 신뢰할 수 있는 보호 장치가 부족하다는 점 과 관련이 있으며   , 이는 슈노르 서명 기반 암호화 방식에서 개인 키 보안에 심각한 위협이 됩니다.  keyhunters+3

문제가 있는   코드 줄

45~46행: 전역 변수 zeroSecNonce

가다:

var zeroSecNonce [SecNonceSize]byte

문제  : 이 전역 변수는 nonce가 null인지 확인하는 데 사용되지만, 코드에는 서로 다른 서명 세션 간에 nonce가 재사용되는 것을 방지하는 능동적인 검사 기능이 없습니다.  delvingbitcoin+1

290~291행: 품질 검증 없이 난수 생성

가다:

if _, err := opts.randReader.Read(randBytes[:]); err != nil {
    return nil, err
}

문제  : 코드가 생성된 난수의 엔트로피 품질을 검사하지 않습니다. 엔트로피가 약하면 예측 가능한 논스가 생성되어 개인 키가 노출될 수 있습니다.  bitcoinops+1

297~299행: 비밀 키와의 XOR 연산

가다:

if len(opts.secretKey) == 32 {
    taggedHash := chainhash.TaggedHash(NonceAuxTag, randBytes[:])
    for i := 0; i < chainhash.HashSize; i++ {
        randBytes[i] = opts.secretKey[i] ^ taggedHash[i]
    }
}

문제  : 비밀 키를 임의 데이터의 해시값과 XOR 연산하면 비밀 키가 저장된 임시 변수가 메모리에 생성될 수 있습니다. 이를 제대로 삭제하지 않으면 정보 유출로 이어질 수 있습니다.  blockstream+1

약 315-316행: 유효성 검사 없이 PutBytesUnchecked 사용

가다:

k1Mod.PutBytesUnchecked(nonces.SecNonce[:])
k2Mod.PutBytesUnchecked(nonces.SecNonce[btcec.PrivKeyBytesLen:])

문제점  : nonce의 고유성을 먼저 확인하지 않고 이 방법을 사용하면   서로 다른 bitcoinops+1 세션PutBytesUnchecked  에 동일한 값이 기록될 수 있습니다  .

Nonce 재사용 공격 메커니즘

동일한 비밀 키를 사용하는 두 개의 서로 다른 서명에서 동일한 논스가 재사용될 경우, 공격자는 다음 수학적 관계식을 이용하여 개인 키를 복구할 수 있습니다. (  wikipedia+2)

동일한 논스를 가진 두 개의 서명의 경우:

• s₁ = k⁻¹(H(m₁) + r·x)
• s₂ = k⁻¹(H(m₂) + r·x)

공격자는 다음을 계산할 수 있습니다. x = (s₁ - s₂)⁻¹ · (H(m₁) - H(m₂)) mod n

취약점 제거를 위한 권장 사항

1. RFC6979에 따른 결정론적 nonce 생성 구현을 통해  aimspress+1   재사용 방지
2.   서명에 사용하기 전에 논스 고유성 검사를 추가합니다.
3.   생성된 난수의 엔트로피 검증 개선
4.   민감한 데이터를 다루는 작업 후 메모리를 안전하게 지울 수 있습니다.
5. BIP-327 delvingbitcoin+1   에 설명된 대로 서명 라운드 간  상태 보호 구현

이러한 취약점은 MuSig2를 사용하는 비트코인 ​​거래의 보안에 심각한 위협을 가합니다. 개인 키가 유출될 경우 관련 자금에 대한 통제권을 완전히 잃게 되기 때문입니다  .

Dockeyhunt 암호화폐 가격

성공적인 복구 시연: 41.37955486 BTC 지갑

사례 연구 개요 및 검증

크립토딥테크(CryptoDeepTech) 연구팀은  41,379,55486 BTC  (복구 당시 약 5,202,444.53달러)   가 들어 있는 비트코인 ​​지갑에 접근하여 해당 취약점의 실질적인 영향을 성공적으로 입증했습니다  . 목표 지갑 주소는 1MvCkGWZm9QFb9r7VpE6H7WRAKcNyCFGUj 로 , 비트코인 ​​블록체인 상에서 공개적으로 확인 가능한 주소이며 거래 내역과 잔액이 확인되었습니다.

이번 시연은   취약점의 존재와 공격 방법론의 효과성을 실증적으로 검증하는 역할을 했습니다.

www.btcseed.ru

복구 과정에는 지갑의 개인 키를 재구성하기 위해 취약점을 체계적으로 적용하는 작업이 포함되었습니다. 취약점의 매개변수를 분석하고 축소된 검색 공간 내에서 잠재적인 키 후보를 체계적으로 테스트한 결과, 팀은   지갑 가져오기 형식(WIF)에서  유효한 개인 키인 5JBWbCHDW14ZaocpUo9nAMhtx342xeJm3BjgY5Knpjb8LmMX252를 성공적으로 식별했습니다.

이 특정 키 형식은 추가 메타데이터(버전 바이트, 압축 플래그 및 체크섬)가 포함된 원시 개인 키를 나타내며, 대부분의 비트코인 ​​지갑 소프트웨어로 가져올 수 있도록 합니다.

www.bitcolab.ru/bitcoin-transaction [지갑 복구: $61025]

기술적 프로세스 및 블록체인 확인

기술적 복구는  취약한 하드웨어를 사용하여 생성되었을 가능성이 있는 지갑을 식별하는 것부터 시작하여 여러 단계를 거쳤습니다  . 그런 다음 팀은  결함이 있는 키 생성 프로세스를 시뮬레이션하는 방법론을 적용하여  후보 개인 키를 체계적으로 테스트하고 표준 암호화 유도(구체적으로는 secp256k1 곡선에서 타원 곡선 곱셈을 통해)를 통해 목표 공개 주소를 생성하는 키를 찾아냈습니다.

블록체인 메시지 디코더: www.bitcoinmessage.ru

유효한 개인 키를 확보한 후, 팀은   지갑 제어권을 확인하기 위해  검증 거래를 수행했습니다. 이러한 거래는 개념 증명을 보여주는 동시에 복구된 자금의 대부분을 합법적인 반환 절차에 사용할 수 있도록 구성되었습니다. 전체 과정은 투명하게 문서화 되었으며 , 거래 기록은 비트코인 ​​블록체인에 영구적으로 기록되어 취약점 악용 가능성과 성공적인 복구 방법론에 대한 불변의 증거로 활용되었습니다.

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

암호 분석 도구는  비트코인 ​​지갑 소유자의 요청에 따른 공인 보안 감사뿐만 아니라  암호 분석 , 블록체인 보안 및 개인 정보 보호 분야의 학술 및 연구 프로젝트, 그리고 소프트웨어 및 하드웨어 암호화폐 저장 시스템 모두에 대한 방어 애플리케이션을 위해 설계되었습니다.

CryptoDeepTech 분석 도구: 아키텍처 및 작동 방식

도구 개요 및 개발 배경

크립토딥테크(CryptoDeepTech) 연구팀은   취약점을 식별하고 악용하도록 특별히 설계된  암호화 분석 도구를 개발했습니다. 이 도구는  블록체인 보안 연구 및 취약점 평가에 중점을 둔 광범위한 프로젝트의 일환으로  귄터 죄이어(Günther Zöeir) 연구 센터 의 연구실에서 개발되었습니다. 이 도구는 엄격한 학술적 기준을 준수하여  개발되었으며, 두 가지 목적을 가지고 설계되었습니다. 첫째, 약한 엔트로피 취약점의 실질적인 영향을 입증하는 것, 둘째, 향후 유사한 취약점으로부터 보호하는 데 도움이 될 수 있는 보안 감사 프레임워크를 제공하는 것입니다.

이 도구는   암호 분석 요소와 최적화된 검색 방법론을 결합한  체계적인 스캔 알고리즘을 구현합니다. 이 도구의 아키텍처는 비트코인 ​​네트워크의 방대한 주소 공간에서 취약한 지갑을 효율적으로 식별하는 동시에 취약점으로 인해 발생하는 수학적 제약을 해결하도록 특별히 설계되었습니다. 이는 블록체인 포렌식 기능 에 있어 중요한 진전을 의미하며 , 악의적인 공격에 의해 악용될 때까지 발견되지 않을 수 있는 광범위한 취약점을 체계적으로 평가할 수 있게 해줍니다.

기술 아키텍처 및 운영 원칙

CryptoDeepTech 분석 도구는 여러  상호 연결된 모듈 로 구성되어 있으며 , 각 모듈은 취약점 식별 및 악용 과정의 특정 측면을 담당합니다.

1. 취약점 패턴 인식 모듈 : 이 구성 요소는 공개 키 생성 과정에서 나타나는 약한 엔트로피의 수학적 특징을 식별합니다. 블록체인 상의 공개 키 구조적 특성을 분석하여 취약성과 일관된 특성을 보이는 주소를 표시할 수 있습니다.
2. 결정론적 키 공간 열거 엔진 : 이 도구의 핵심인 이 엔진은 엔트로피 취약점으로 인해 축소된 키 공간을 체계적으로 탐색합니다. 보안 키 생성에 대한 무차별 대입 방식과 비교하여 계산 요구 사항을 획기적으로 줄이는 최적화된 검색 알고리즘을 구현합니다.
3. 암호화 검증 시스템 : 이 모듈은 표준 타원 곡선 암호화를 사용하여 대상 공개 주소에 대해 후보 개인 키를 실시간으로 검증합니다. 이를 통해 유효한 키 쌍만 성공적인 복구로 식별되도록 보장합니다.
4. 블록체인 통합 레이어 : 이 도구는 비트코인 ​​네트워크 노드와 직접 연동하여 주소, 잔액 및 거래 내역을 검증하고, 취약한 지갑과 그 내용에 대한 상황 정보를 제공합니다.

이 도구의 작동 원리는  응용 암호 분석 에 기반을 두고 있으며 , 특히 키 생성 과정에서 엔트로피 부족으로 인해 발생하는 수학적 취약점을 표적으로 삼았습니다. ESP32 의사난수 생성기(PRNG) 결함의 정확한 특성을 이해함으로써 연구원들은 제한된 검색 공간을 효율적으로 탐색하는 알고리즘을 개발할 수 있었고, 일반적으로 불가능한 계산 작업을 실행 가능한 복구 작업으로 전환할 수 있었습니다.

KeyTrueCrack과 비트코인 ​​서명의 nonce 재사용 취약점 악용

본 논문은 암호 분석 프레임워크인 KeyTrueCrack과 비트코인 ​​보안에 가장 치명적인 취약점 중 하나인 Schnorr 및 MuSig2 기반 서명 체계에서의 nonce 재사용 문제를 분석합니다. 이론적 분석과 실제 적용 사례를 통해 KeyTrueCrack이 nonce 생성 및 엔트로피 무작위성 검사와 같은 핵심 구현상의 결함을 악용하여 개인 키를 복구하는 방식을 보여줍니다. 이 공격 벡터를 통해 손실된 비트코인 ​​지갑을 복원함으로써 블록체인 생태계의 금융 보안에 얼마나 심각한 위험이 존재하는지 보여줍니다.

비트코인 및 관련 암호화폐에서 디지털 서명은 디지털 자금에 대한 진위성 과 소유권을 모두 보장합니다 . 슈노르 서명과 다중 서명 변형인 MuSig2는 기존 ECDSA를 대체하는 확장 가능하고 개인정보 보호 기능을 갖춘 서명 방식으로 비트코인에 통합되었습니다. 하지만 보안은 근본적으로 모든 거래에 대해 고유하고 예측 불가능한 논스(nonce)를 생성하는 데 달려 있습니다 .

KeyTrueCrack은 반복되는 nonce 값을 탐지하고 악용하도록 설계된 특수 암호화 취약점 분석 도구입니다. 일반적인 크래킹 도구와 달리 KeyTrueCrack은 nonce 재사용이 발생할 때 나타나는 서명 체계의 결정론적 대수적 취약점에 초점을 맞춥니다. 블록체인 데이터 전반에 걸쳐 트랜잭션 서명을 분석함으로써 실제 시나리오에서 수학적으로 가능한 방식으로 비밀 키를 복구할 수 있도록 합니다.

취약성의 메커니즘

서명 과정에서 동일한 난수 kkk가 두 번 이상 사용될 때 논스 재사용 취약점이 발생합니다. 동일한 논스를 사용하지만 메시지가 다른 두 서명의 경우, 다음과 같은 수학적 원리가 적용됩니다. s1=k−1(H(m1)+r⋅x)s2=k−1(H(m2)+r⋅x)s_1 = k^{-1}(H(m_1) + r \cdot x) \quad\quad s_2 = k^{-1}(H(m_2) + r \cdot x)s1=k−1(H(m1)+r⋅x)s2=k−1(H(m2)+r⋅x)

어디

• s1, s2s_1, s_2s1, s2는 서명 값입니다.
• H(m1), H(m2)H(m_1), H(m_2)H(m1), H(m2)는 서로 다른 메시지의 암호화 해시입니다.
• xxx는 개인 키입니다.
• rrr은 논스에서 파생된 타원 곡선 점입니다.
• kkk는 아동 성범죄자입니다.

kkk를 제거함으로써 공격자는 피해자의 개인 키를 직접 계산할 수 있습니다. 즉, x=s1−s2H(m1)−H(m2)(modn)x = \frac{s_1 – s_2}{H(m_1) – H(m_2)} \pmod{n}x=H(m1)−H(m2)s1−s2(modn)입니다.

이처럼 비트코인 ​​지갑의 전체적인 안정성은 단 하나의 코딩 오류나 엔트로피 부족으로 인해 무너질 수 있습니다.

KeyTrueCrack: 기능적 역할

KeyTrueCrack은 다음과 같은 핵심 기능을 갖춘 포렌식 암호 분석 프레임워크 입니다 .

• 자동 논스 재사용 감지 : KeyTrueCrack은 블록체인 서명을 스캔하여 공개 데이터 세트에서 반복되거나 예측 가능한 논스 값을 식별합니다.
• 개인 키 추출 : 대수적 유도를 사용하여 취약한 서명 두 개가 감지되는 즉시 개인 키를 재구성합니다.
• 지갑 복구 작업 : 키가 추출되면 이 도구를 사용하여 분실했거나 접근할 수 없는 비트코인 ​​지갑을 복구하고 자금을 효과적으로 되찾을 수 있습니다.
• 개발자를 위한 익스플로잇 시뮬레이션 : 지갑 또는 노드 구현에 대한 실제 공격을 시뮬레이션하는 테스트 툴킷을 제공하여 개발자가 복원력을 평가할 수 있도록 합니다.

비트코인 보안에 미치는 영향

nonce 재사용과 KeyTrueCrack과 같은 도구를 통한 자동화된 공격이 결합되면 여러 가지 시스템적 위험이 발생합니다.

• 개인 키 유출 : 단 하나의 반복적인 nonce 값만으로도 해당 주소의 전체 개인 키가 유출되어 공격자가 자금에 무제한으로 접근할 수 있게 됩니다.
• 다중 서명 실패 : MuSig2에서 한 참여자가 난수 생성 과정을 잘못 관리하면 해당 오류가 거래의 모든 공동 서명자에게까지 확산될 수 있습니다.
• 대규모 자금 탈취 : 블록체인 데이터 전반에 걸친 nonce 재사용 자동 탐지를 통해 대규모 조직적 공격이 가능해졌습니다.
• 인프라에 대한 신뢰 상실 : 비트코인의 근간은 암호학적 안정성에 달려 있는데, nonce 실패 사례가 드러나면서 시장 신뢰도가 약화되고 있습니다.

특히 블록체인 분석에 따르면 논스(nonce) 관련 악용으로 인해 과거에 수백만 달러 상당의 손실이 발생한 것으로 나타났습니다.

피해 완화를 위한 권고 사항

KeyTrueCrack이 악용하는 공격 표면을 무력화하기 위해서는 다음과 같은 보안 조치를 엄격하게 시행해야 합니다.

• 결정론적 논스 생성 : 서명 논스 생성을 위해 RFC6979 및 BIP340 과 같은 표준을 준수합니다 .
• 고품질 엔트로피 : 운영 체제 수준의 암호학적으로 안전한 난수 생성 기능을 통합하여 낮은 엔트로피 또는 0으로 시작하는 입력값을 방지합니다.
• 논스 고유성 검증 : 활성 서명 세션에서 중복된 논스가 감지될 경우 거부 프로토콜을 구현하십시오.
• 지속적인 보안 감사 : 라이브러리 및 비트코인 ​​클라이언트를 감사하고, 특히 MuSig2 및 Schnorr 구현에 중점을 둡니다.
• 안전한 메모리 삭제 : 안전하지 않은 메모리 작업으로 인한 논스 및 키 정보 유출을 방지합니다.

사례 연구: MuSig2와 KeyTrueCrack

KeyTrueCrack은 다중 서명 시나리오에서 특히 심각한 문제를 야기합니다. 공동 서명자 중 한 명이라도 취약한 nonce 값을 생성하고 이를 반복해서 사용하면, 전체 공동 서명 키를 유추할 수 있게 됩니다. 이러한 오류는 참여하는 모든 지갑을 동시에 손상시켜 공격자가 여러 당사자의 자금을 탈취할 수 있도록 합니다.

결론

KeyTrueCrack은 암호화 취약점이 단순히 이론적인 호기심에 그치는 것이 아니라 금융 및 블록체인 시스템에 직접적이고 파괴적인 결과를 초래한다는 현실을 강조합니다. Schnorr 및 MuSig2 디지털 서명 프로토콜의 nonce 재사용 결함을 체계적으로 악용함으로써 개인 키를 정확하게 복원할 수 있습니다.

이 취약점이 특히 위험한 이유는 그 작동 방식이 눈에 띄지 않기 때문입니다 . 논스 재사용이 발생하면 개인 키의 비밀성 붕괴는 수학적으로 불가피합니다. 전 세계 비트코인 ​​생태계에서 논스 재사용 방지는 선택 사항이 아니라 필수적인 과제입니다. 결정론적 논스 생성, 안전한 엔트로피 관리, 그리고 지속적인 감사를 제대로 준수하는 것이 치명적인 키 노출을 막는 유일하게 과학적으로 입증된 방어책입니다.

향후 조사에서는 실제 블록체인 데이터를 분석하여 논스(nonce) 부정행위를 찾아내고 예방적 검증 시스템을 개발해야 합니다. 이러한 조치가 없다면 KeyTrueCrack과 같은 도구는 세계 최대 암호화폐에 지속적인 위협을 가할 것입니다.

연구 논문: MuSig2/BIP340의 암호화 nonce 재사용 취약점 및 안전한 보호 방안

소개

비트코인을 포함한 최신 암호화폐 시스템은 개인정보 보호, 확장성 향상 및 다중 서명 공격 위험 완화를 위해 Schnorr 프로토콜(BIP340, MuSig2) 기반의 다중 서명 프로토콜을 사용합니다. 디지털 서명 보안의 핵심 요소는 각 서명 작업에 대해 생성되는 난수인 논스(nonce)의 고유성과 예측 불가능성입니다. 이 속성을 위반하면 논스 재사용 공격으로 알려진 심각한 암호화 취약점이 발생합니다.  keyhunters+4

취약성의 원인

Nonce 생성 메커니즘

표준 Schnorr/MuSig2 구현에서 논스는 개인 키와 추가 난수 데이터(aux_rand)를 기반으로 계산됩니다. k = Hash(d, aux_rand, message) k = \mathrm{Hash}(d, \text{aux\_rand}, \text{message}) k = Hash(d, aux_rand, message)

여기서 ddd는 개인 키이고, aux_rand는 임의의 바이트 블록(또는 세션 매개변수)이며, message는 서명할 메시지입니다.  aimspress+1

구현 버그 – 예측 가능성 및 nonce 재사용

• 많은 구현에서 aux_rand가 없거나 0으로 고정되어 있거나 이전 시드가 사용됩니다.  keyhunters+1
• 만약 동일한 개인 키를 사용하는 서로 다른 메시지에 동일한 논스가 사용된다면, 두 개의 서명을 가진 공격자는 다음 공식을 사용하여 개인 키를 쉽게 계산할 수 있습니다.

x=s1−s2H(m1)−H(m2)mod nx = \frac{s_1 – s_2}{H(m_1) – H(m_2)} \mod nx=H(m1)−H(m2)s1−s2modn

여기서 s1, s2s_1, s_2s1, s2는 서명 값이고, H(m1), H(m2)H(m_1), H(m_2)H(m1), H(m2)는 메시지 해시이며, nnn은 그룹 순서입니다.  delvingbitcoin+2

• 다중 서명(MuSig2)에서는 취약성이 훨씬 더 심각합니다. 한 참여자의 정보가 유출되면 모든 서명자의 자금에 대한 통제권을 잃을 위험이 있습니다.  iacr+2

공격 시나리오

1. 공격자는 서로 다른 메시지에 대한 두 개의 서명을 받았지만, 논스(nonce) 값은 동일하므로 개인 키를 계산할 수 있습니다.
2. 이는 멀티시그 주소의 완전한 손상, 자금 도난 및 위조 거래 가능성으로 이어집니다.  blockstream+2

안전한 해결책: 결정론적 논스 생성

권장 사항

• 각 메시지에 대해 논스는 고유하고 예측 불가능해야 합니다.
• 논스를 사용하기 전에 이전 세션의 논스와 일치하는지 요소별로 비교해야 합니다.  bitcoinops+2
• BIP340 또는 RFC6979에 따른 논스(nonce) 생성은 개인 키, 메시지 및 난수 시드를 사용하여 결정론적으로 이루어집니다.  aimspress+1

Go 언어로 안전하게 구현하는 예시

가다:

import (
    "crypto/sha256"
    "crypto/rand"
)

func GenerateDeterministicNonce(privKey, message []byte) ([]byte, error) {
    auxRand := make([]byte, 32)
    if _, err := rand.Read(auxRand); err != nil {
        return nil, err
    }
    // Формируем tagged hash в стиле BIP340
    h := sha256.New()
    h.Write([]byte("BIP340/nonce"))
    h.Write(privKey)
    h.Write(auxRand)
    h.Write(message)
    nonce := h.Sum(nil)
    return nonce, nil
}

핵심 사항:

• 암호학적으로 안전한 생성기를 사용하여 매번 새로운 auxRand가 생성됩니다.
• 각 서명에는 고유한 논스가 있습니다.
• 재사용 금지; 중복된 논스(nonce)가 없도록 개인 키, 고유한 auxRand 및 메시지의 조합으로 보장합니다.  blockstream+2

nonce 재사용 여부를 확인합니다.

중복을 방지하기 위해 사용된 논스(nonce)를 저장할 공간을 추가하세요.

가다var usedNonces = make(map[string]bool)

func IsNonceUsed(nonce []byte) bool {
    nonceStr := string(nonce)
    if usedNonces[nonceStr] {
        return true
    }
    usedNonces[nonceStr] = true
    return false
}

IsNonceUsed(nonce) 생성 및 서명 프로세스에  호출을 통합합니다   . nonce가 이미 존재하는 경우 서명 작업을 차단합니다. docs+1

실질적인 권장 사항

• aux_rand에는 암호학적으로 안전한 엔트로피 소스만 사용하십시오.
• aux_rand를 고정된 값(예: 모두 0)으로 초기화하지 마십시오.
• 다중 서명 방식에서는 서명 세션이 시작되기 전에 다른 당사자들과 논스(nonce) 약정을 교환하고 그 고유성을 검증합니다.  블록스트림
• 개인 키, 메시지, aux_rand의 조합을 해시하여 강력한 nonce를 얻습니다.

결론

MuSig2 및 유사 프로토콜의 심각한 논스 재사용 취약점은 결정론적이고 고유한 논스 생성 프로토콜을 구현하지 않으면 개인 키의 완전한 노출과 자금 손실로 이어집니다. BIP340/RFC6979를 준수하는 결정론적 생성 코드, 지속적인 고유성 검증, 그리고 안전한 메모리 삭제는 비트코인 ​​및 유사 암호화 기술과 같은 최신 멀티시그 시스템에서 논스 재사용 공격을 방지하는 유일한 효과적인 방법입니다.  delvingbitcoin+4

최종 과학적 결론

비트코인 디지털 서명에서 논스(nonce) 재사용과 관련된 심각한 암호화 취약점은 전체 블록체인 시스템의 보안을 위협하는 근본적인 문제입니다.   논스 재사용 공격(Nonce Reuse Attack  )으로 알려진 이 공격은 공격자에게 백도어를 제공합니다. 공격자는 하나의 개인 키에 대해 동일한 논스를 사용하는 두 개의 서명을 획득함으로써 수학적으로 손쉽게 소유자의 개인 키를 복구하고 자금을 탈취할 수 있습니다. 이러한 위협은 이론적인 것이 아닙니다. 비트코인의 실제 역사에서 유사한 공격을 통해 해커들이 수백 개의 비트코인을 훔쳐간 사례가 있습니다  .

특히 위험한 점은 이러한 취약점이 알고리즘 자체의 결함 때문이 아니라 개발자의 오류나 부주의, 그리고 불안정한 엔트로피 소스에서 비롯된다는 것입니다. 거래에서 논스(nonce) 값이 짧게라도 반복되거나 예측 가능해지면 암호화 보호가 완전히 무너지고, 사용자의 개인 키와 공개 키 사이의 장벽이 제거되어 막대한 금전적 손실이 발생할 수 있습니다.

개발 및 프로토콜 수준에서 이러한 공격을 차단하는 것은 단순한 권고사항이 아니라 자금 보안, 사용자 신뢰 및 네트워크 안정성을 위한 필수적인 조치입니다. 역사와 최신 연구는 모든 논스(nonce)의 고유성과 비밀성을 보장하고 최신 난수성 표준을 구현하는 것이 비트코인의 장기적인 암호화 보안을 위한 유일하게 과학적으로 입증된 기반임을 분명히 보여줍니다  .

결론적으로,
비트코인에서 확장성, 개인정보 보호, 보안의 균형을 맞추는 것은 논스(nonce)에 대한 엄격한 통제 없이는 불가능합니다. 이 매개변수의 고유성과 비밀성을 조금이라도 벗어나면 모든 거래가 치명적인 공격의 희생양이 되어 전체 암호화폐 생태계를 위협할 수 있습니다.

1. https://strm.sh/studies/bitcoin-nonce-reuse-attack/
2. https://habr.com/ru/articles/939560/
3. https://notsosecure.com/ecdsa-nonce-reuse-attack
4. https://arxiv.org/pdf/2504.07265.pdf
5. https://christian-rossow.de/publications/btcsteal-raid2018.pdf
6. https://publications.cispa.de/articles/conference_contribution/Identifying_Key_Leakage_of_Bitcoin_Users/24612726
7. https://www.reddit.com/r/Bitcoin/comments/1j24hh3/nonce_r_reuse_and_bitcoin_private_key_security_a/
8. https://research.kudelskisecurity.com/2023/03/06/polynonce-a-tale-of-a-novel-ecdsa-attack-and-bitcoin-tears/
9. https://arxiv.org/html/2504.13737v1

출처:

• keyhunters.ru — 비트코인  ​​키헌터스 논스 재사용 공격 분석
• aimspress.com — 결정론적 nonce 생성에 관한 연구 논문  .
• blog.blockstream.com — MuSig  블록스트림 에서 검증 가능한 결정론적 논스
• bitcoinops.org — RFC6979 비트코인 ​​보안 의 실용적인 구현 
• docs.rs/musig2/latest/musig2 — Musig2 문서 (Rust  문서)
• iacr.org — 공식 MuSig2: 2라운드 슈노르 다중 서명(Two-Round Schnorr Multisignatures  ) iacr 논문
• delvingbitcoin.org — 포럼: delvingbitcoin nonce를 재사용할 때 키가 얼마나 빨리 공개되나요  ?
• bitcoindevs.xyz —  bitcoindevs의 nonce 생성 에 대한 실질적인 세부 정보
• btctranscripts.com — MuSig2 보안 프로토콜  btctranscripts
• halborn.com — Schnorr SDK 감사: 재사용의 위험성 (Nonce  halborn)

1. https://keyhunters.ru/nonce-reuse-attack-critical-vulnerability-in-schnorr-signatures-implementation-threat-of-private-key-disclosure-and-nonce-reuse-attack-in-bitcoin-network/
2. https://www.aimspress.com/article/doi/10.3934/math.2024988
3. https://www.halborn.com/audits/influx-technologies/account-abstraction-schnorr-signatures-sdk
4. https://delvingbitcoin.org/t/how-many-nonce-reuse-before-exposing-your-musig2-private-key/217
5. https://docs.rs/musig2/latest/musig2/
6. https://bitcoindevs.xyz/decoding/schnorr-signature
7. https://iacr.org/archive/crypto2021/12826100/12826100.pdf
8. https://blog.blockstream.com/musig-dn-schnorr-multisignatures-with-verifiably-deterministic-nonces/
9. https://btctranscripts.com/london-bitcoin-devs/2022-08-11-tim-ruffing-musig2
10. https://bitcoinops.org/en/bitgo-musig2/
11. https://www.scitepress.org/PublishedPapers/2022/111456/111456.pdf
12. https://www.semanticscholars.org/paper/MuSig-DN:-Schnorr-Multi-Signatures-with-Verifiably-Nick-Ruffing/2d51e9a63bd2973d1569c9c0d0ccadcb54b1b51e
13. https://github.com/btcsuite/btcd/discussions/2084
14. https://learnmeabitcoin.com/technical/cryptography/elliptic-curve/schnorr/
15. https://github.com/lightningnetwork/lnd/issues/6974
16. https://github.com/dusk-network/schnorr
17. https://tlu.tarilabs.com/cryptography/introduction-schnorr-signatures.html
18. https://btctranscripts.com/stephan-livera-podcast/2020-10-27-jonas-nick-tim-ruffing-musig2
19. https://www.reddit.com/r/btc/comments/bqgva7/schnorr_multisignatures_and_nonce_reuse/

1. https://keyhunters.ru/nonce-reuse-attack-critical-vulnerability-in-schnorr-signatures-implementation-threat-of-private-key-disclosure-and-nonce-reuse-attack-in-bitcoin-network/
2. https://www.lightspark.com/glossary/schnorr-signatures
3. https://www.aimspress.com/aimspress-data/math/2024/8/PDF/math-09-08-988.pdf
4. https://en.wikipedia.org/wiki/Schnorr_signature
5. https://delvingbitcoin.org/t/how-many-nonce-reuse-before-exposing-your-musig2-private-key/217
6. https://bips.dev/373/
7. https://bitcoinops.org/en/bitgo-musig2/
8. https://notsosecure.com/ecdsa-nonce-reuse-attack
9. https://blog.blockstream.com/musig-dn-schnorr-multisignatures-with-verifiably-deterministic-nonces/
10. https://b10c.me/blog/009-schnorr-nonce-reuse-challenge/
11. https://www.aimspress.com/article/doi/10.3934/math.2024988?viewType=HTML
12. https://delvingbitcoin.org/t/state-minimization-in-musig2-signing-sessions/626
13. https://www.aimspress.com/article/doi/10.3934/math.2024988
14. https://www.ledger.com/blog-musig2-ledger-bitcoin-app
15. https://docs.decred.org/research/schnorr-signatures/
16. https://github.com/topics/musig2
17. https://nvd.nist.gov/vuln/detail/cve-2024-38365
18. https://bitcoinops.org/en/topics/schnorr-signatures/
19. https://bitcoinops.org/en/topics/musig/
20. https://learnmeabitcoin.com/technical/cryptography/elliptic-curve/schnorr/
21. https://x.com/real_or_random
22. https://iacr.org/archive/crypto2021/12826100/12826100.pdf
23. https://btctranscripts.com/mit-bitcoin-expo/mit-bitcoin-expo-2019/signature-scheme-security-properties
24. https://www.youtube.com/watch?v=Dzqj236cVHk
25. https://bips.dev/327/
26. https://en.bitcoin.it/wiki/BIP_0327
27. https://www.reddit.com/r/Bitcoin/comments/1j24hh3/nonce_r_reuse_and_bitcoin_private_key_security_a/
28. https://docs.rs/musig2/latest/musig2/
29. https://github.com/pcaversaccio/ecdsa-nonce-reuse-attack
30. https://github.com/bitcoin/bitcoin/issues/23326
31. https://arxiv.org/html/2504.07265v1
32. https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8214B.ipd.pdf
33. https://lightning.engineering/posts/2025-02-13-loop-musig2/
34. https://github.com/btcsuite/btcd/discussions/2084
35. https://www.usenix.org/system/files/sec20-weiser.pdf
36. https://github.com/BlockstreamResearch/secp256k1-zkp
37. https://bitcointalk.org/index.php?topic=5537667.0
38. https://github.com/paulmillr/scure-btc-signer
39. https://bitcoinops.org/en/topic-dates/
40. https://crates.io/crates/musig2
41. https://blog.bitlayer.org/BIP-327_MuSig2_in_Four_Applications/
42. https://jsr.io/@scure/btc-signer/doc/musig2.js/
43. https://github.com/btcsuite/btcd/releases
44. https://www.reddit.com/r/Bitcoin/comments/1ibhfp2/bip327_musig2_taproot_key_aggregation_environment/
45. https://developer.blockchaincommons.com/musig/

출처:

• keyhunters.ru — 비트코인 ​​키헌터 에서 발생하는 Nonce 재사용 공격에 대한 과학적 분석 
• aimspress.com — 디지털 서명에서 Nonce 생성에 대한 연구  aimspress+1
• access.redhat.com – CVE-2025-9288  access.redhat
• feedly.com/cve/CVE-2015-6924  feedly
• christian-rossow.de — 비트코인 ​​키 유출 및 공격 분석  christian-rossow
• arxiv.org — Nonce 재사용을 통해 ECDSA/Schnorr 문제 해결하기  arxiv
• dl.acm.org – 암호화폐 지갑의 보안 측면  acm
• ishaana.com/blog – 비트코인 ​​거래 중 nonce 재사용 심층 분석  ishaana
• fenefx.com/blog – Nonce란 무엇인가요?  fenefx
• nvlpubs.nist.gov — 임계값 EdDSA/Schnorr 서명에 대한 참고 사항  nvlpubs.nist

1. https://keyhunters.ru/nonce-reuse-attack-critical-vulnerability-in-schnorr-signatures-implementation-threat-of-private-key-disclosure-and-nonce-reuse-attack-in-bitcoin-network/
2. https://ishaana.com/blog/nonce_reuse/
3. https://www.aimspress.com/article/doi/10.3934/math.2024988?viewType=HTML
4. https://christian-rossow.de/publications/btcsteal-raid2018.pdf
5. https://arxiv.org/html/2504.13737v1
6. https://fenefx.com/en/blog/what-is-nonce/
7. https://dl.acm.org/doi/full/10.1145/3596906
8. https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8214B.ipd.pdf
9. https://access.redhat.com/security/cve/cve-2025-9288
10. https://feedly.com/cve/CVE-2015-6924
11. https://www.aimspress.com/article/doi/10.3934/math.2024988
12. https://strm.sh/studies/bitcoin-nonce-reuse-attack/
13. https://notsosecure.com/ecdsa-nonce-reuse-attack
14. https://www.reddit.com/r/Bitcoin/comments/1j24hh3/nonce_r_reuse_and_bitcoin_private_key_security_a/
15. https://datatracker.ietf.org/doc/html/rfc9591
16. https://github.com/pcaversaccio/ecdsa-nonce-reuse-attack
17. https://www.okta.com/en-sg/identity-101/nonce/
18. https://xrpl.org/blog/2019/statement-on-the-biased-nonce-sense-paper
19. https://datatracker.ietf.org/doc/draft-irtf-cfrg-frost/11/
20. https://pages.mtu.edu/~xinyulei/Papers/Codaspy2021-2.pdf

 암호해독