해커들이 프라이빗키를 복제할 수도 있나요?
질문자께서 질문해주신 내용을 중심으로 답변을 드리도록 하겠습니다.
월렛 제너레이터에서 치명적인 결함이 될 수 있는 중복 인증 이미지 발송 오류가 발생해서 해커들이 쉽게 프라이빗키 복제에 나설 수 있다고 들었습니다. 중복 인증 이미지 발송 오류와 프라이빗키의 복제가 어떻게 상관관계가 있는건가요?
월렛제너레이터라는 사이트는 마우스의 움직임에 따라 임의의 난수를 형성하여 그것을 바탕으로 비트코인 종이 지갑을 만들어주는 사이트입니다. 아래 스크린샷을 참고해 주시길 바랍니다. 빨간 박스 부분에 제가 erc20이라고 마우스로 움직이면 파란색 박스 부분의 숫자가 임의로 바뀌게 되고 검정 박스 부분의 게이지가 다 차면 최종적으로 아래 그림처럼 종이 지갑을 인쇄할 수 있는 페이지가 나타나게 됩니다.
원래대로 라면 이러한 과정이 무작위의 숫자를 생성하고 그로 인해 무작위 공개 키 값과 프라이빗 키 값이 생성되어야 하는데 어떤 이유로(오류 혹은 해킹 등 아직 밝혀지지 않은) 중복된 키 값이 생성되어 사용자가 발급하여 이용하고 있는 공개 키와 프라이빗 키 값이 고유하지 않은 상태가 되었다고 할 수 있습니다. 즉 같은 지갑 주소를 복수의 사람이 쓰게 될 수 있다는 말입니다.
하지만 아직까지 피해 사례가 보고된 바는 없고 이번 일은 2018년 8월 17일 이후 이 서비스 사용자들에게 해당됩니다. 따라서 새로운 다른 신뢰할 만한 서비스의 지갑을 만든 다음 잔고를 옮기는 것이 필요하다고 할 수 있습니다.
조사 결과에 따르면 이 서비스에서 난수를 생성하는 부분의 코드가 실제로는 랜덤하지 않게 되도록 수정된 것을 발견하게 됩니다.
이런 변화는 2018년 8월 17일 이후, 8월 25일에 이루어진 것으로 보이며 문제를 발견한 사람은 MyCrypto 서비스 측의 도움으로 여러가지 조사를 하여 해당 사이트 운영자에게 통보한 상태입니다.
하지만 아직 운영자는 별다른 조치를 취하지 않은 상태로 서비스를 계속하고 있습니다. 따라서 이 서비스는 더 이상 이용하지 않는 것이 좋을 것으로 보입니다.
답변이 도움이 되길 바랍니다.