미국 당국이 iOS용 바이낸스 트러스트 월렛 앱에서 잠재적인 취약점을 발견했습니다.

NIST 웹사이트는 바이낸스 트러스트 월렛 앱의 iOS 버전에서 취약점을 발견했다고 밝혔습니다.
전문가들은 이 프로그램이 "약한" PRNG를 사용하기 때문에 지갑을 쉽게 해킹할 수 있다고 주장합니다.
이의 제기는 검토 중입니다.
미국 국립표준기술연구소(NIST) 웹사이트는 iOS 기기용 바이낸스 트러스트 월렛 앱의 잠재적 취약성에 대한 공지를 게시했습니다. 전문가들은 이 취약점이 지갑 소유자에게 위협이 될 수 있다고 지적했습니다.

비영리 단체인 미트러 코퍼레이션은 이 취약점을 해당 기관에 알린 출처로 명시되어 있습니다. 이의 제기는 검토 중입니다.

해당 공지에 따르면 바이낸스 트러스트 월렛 앱이 트레저 암호화 라이브러리를 부적절하게 사용한다고 명시되어 있습니다. 그 결과 니모닉 문구를 생성하는 유일한 데이터 필드는 기기의 시간뿐이라고 전문가들은 지적했습니다.

이로 인해 공격자가 특정 기간의 각 타임스탬프를 특정 주소와 연결하여 니모닉을 생성할 수 있는 '허점'이 발생한다고 게시물은 설명했습니다.

 

특히 2024년 1월 말, 밀크 사드 전문가들은 SECBIT 연구소를 인용해 이 취약점을 자세히 설명하는 보고서를 발표했습니다. 또한 2023년 7월에 발생한 해킹과도 관련이 있다고 밝혔습니다.

전문가들은 이 결함 때문에 이 애플리케이션이 초기 상태가 31비트인 "약한" 의사 난수 생성기(PRNG)를 사용한다고 설명했습니다. 이 때문에 해킹이 훨씬 더 쉽다고 합니다.

인크립트는 트러스트 월렛과 바이낸스에 의견을 요청했지만 즉각적인 답변을 받지 못했습니다. 소식이 들어오는 대로 업데이트하겠습니다.

앞서 저희는 비트코인-NFT가 미국 국가 취약점 데이터베이스에 등재되었다는 소식을 전한 바 있습니다. 그 전에 비트코인 코어 팀원 루크 대시(Luke Dashjr)는 "비문"이 블록체인의 취약점을 악용한다고 말했습니다.