미국 사이버 당국, '바이낸스 트러스트 월렛' iOS 앱 취약점 조사 중

NIST는 '바이낸스 트러스트 월렛'의 iOS 버전에서 공격자가 보안 단어를 추측하여 자금을 탈취할 수 있는 취약점을 발견했다. 2018년 바이낸스가 인수한 트러스트 월렛은 2023년에 여러 차례 사이버 사고를 겪었으며, 이로 인해 400만 달러 이상의 손실이 발생했다.

15일(현지시간) 미국 기술 및 사이버 보안 표준 기관인 미국 국립표준기술연구소(NIST)는 "바이낸스 트러스트 월렛"의 iOS 버전에 잠재적인 취약점이 있다고 발표했다.

이 취약점은 2월 8일에 CVE 데이터베이스에 추가되었으며, 이는 중대한 피해나 손실로 이어질 수 있는 심각한 문제를 나타낸다. NIST는 실제 심각성을 조사하고 있다.

트레저 암호화 라이브러리를 악용하는 이 결함은 2023년 7월부터 공격자가 보안 단어를 추측하고 디지털 지갑에서 돈을 훔칠 수 있도록 야생에서 악용되고 있다.

NIST는 공격자가 해당 기간 내에 각 타임스탬프에 대한 니모닉을 체계적으로 생성하여 특정 지갑 주소에 연결하여 자금을 훔칠 수 있다고 설명했다. 2018년 바이낸스가 인수한 트러스트 월렛은 2023년에 여러 차례 사이버 사고를 겪으며 400만 달러 이상의 손실을 입었다.

바이낸스는 자체 웹3 지갑을 출시하며 트러스트 월렛이 이제 바이낸스닷컴과 독립적으로 운영되는 별도의 법인임을 명확히 했다. 트러스트 월렛의 X(이전 트위터) 프로필은 해당 취약점을 해결하지 않았다.