미국, 트러스트 월렛 iOS 앱의 취약점 조사 실시

미국 상무부 산하 기관이 트레저 암호화 라이브러리의 오용으로 인해 암호화폐 지갑에서 도난이 발생할 수 있는 취약점으로 인해 "바이낸스 트러스트 월렛 앱"의 이전 버전을 조사 중이며, 미국 국립표준기술연구소(NIST)가 이를 강조했다. 2023년 7월에도 유사하게 악용된 이 취약점은 공격자가 특정 지갑 주소와 연결된 니모닉 단어를 체계적으로 생성하여 잠재적으로 자금 도난으로 이어질 수 있는 취약점이다.

16일(현지시간) 코인텔레그래프에 따르면 미국 상무부 산하 기관은 현재 공격자가 암호화폐 지갑에서 자금을 탈취하는 데 악용될 수 있는 취약점에 대한 우려로 인해 구 버전의 "바이낸스 트러스트 월렛 앱"을 조사하고 있다.

미국 국립표준기술연구소(NIST)가 확인한 이 취약점은 트러스트 월렛 앱 내 트레저 암호화 라이브러리의 부적절한 사용으로 인해 발생했다. NIST는 2023년 7월에도 유사한 취약점이 악용되어 금전적 손실을 초래한 적이 있다고 경고한 바 있다.

공격자는 특정 지갑 주소와 연결된 니모닉 단어를 체계적으로 생성하여 무단 자금 인출을 용이하게 함으로써 이 결함을 악용할 수 있다고 설명했다. 이 정보는 2월 8일에 공개되었으며, 현재 실제 영향을 확인하기 위해 추가 분석이 진행 중이다. 또한 트러스트 월렛 대변인은 트레저 라이브러리의 오용이 2018년에 확인되었으며, 그해 3월과 7월 사이에 생성된 iOS 지갑에 영향을 미쳤다고 밝혔다.

당시 오픈 소스 프로젝트였던 트러스트 월렛은 약 10,000건의 다운로드가 영향을 받았으며, 모든 코드 커밋과 수정 사항은 공개적으로 액세스할 수 있다고 인정했다. 미국 국토안보부의 후원을 받는 CVE는 이더 지갑을 노린 해킹이 여러 차례 발생하자 iOS용 트러스트 월렛 앱에 대한 조사에 착수했다.

Secbit Labs는 2023년 7월, 트러스트 월렛의 이전 버전 iOS 플랫폼에서 중대한 도난 사건과 관련된 취약점을 발견했다. 바이낸스 대변인은 트러스트 월렛과 바이낸스 간의 관계를 명확히 하면서 트러스트 월렛은 이제 바이낸스닷컴과 독립적으로 운영되는 별도의 법인이라고 강조했다. 밀크 새드가 실시한 독립적인 조사에서 자금 손실에 취약한 6,572개 이상의 고유한 지갑 니모닉을 발견했으며, 트러스트 월렛 앱이 트레저 암호화 라이브러리 내에서 안전하지 않은 기능을 사용했기 때문에 문제가 발생한 것으로 보고 있다.

조사가 끝나면 NIST는 앱의 취약점에 0에서 10까지의 심각도 점수를 부여할 예정이다. 중요한 점은 트레저 암호화 라이브러리와 관련된 취약성이 트러스트 월렛에만 국한된 것이 아니며 더 광범위한 영향을 미칠 수 있다는 점이다.