TechFlow 소식, 8월 9일 코인데스크(Cointelegraph) 보도에 따르면, 보안 연구원들이 '다크 스키피(Dark Skippy)'라 불리는 공격 기법을 발견했다. 이 방법을 이용하면 해커가 단 두 건의 서명된 거래를 통해 비트코인 하드웨어 지갑에서 개인 키를 추출할 수 있다. 이 취약점은 모든 하드웨어 지갑 모델에 영향을 미칠 가능성이 있으며, 다만 공격자가 사용자를 속여 악성 펌웨어를 다운로드하게 만드는 조건이 필요하다.
이러한 연구 결과는 프로스트스냅(Frostsnap) 공동 창립자 로이드 푸르니에(Lloyd Fournier)와 닉 패로(Nick Farrow), 그리고 비트코인 프로토콜 ZeroSync 및 BitVM의 공동 개발자 로빈 라이너스(Robin Linus)가 8월 5일 발표했다. 보고서는 하드웨어 지갑의 펌웨어가 사용자의 니모닉(mnemonic)의 일부를 거래 서명에 사용되는 '저엔트로피 비밀 난수(low entropy secret nonce)'에 삽입하도록 프로그래밍될 수 있다고 지적했다. 해당 거래가 확인되면 생성된 서명이 블록체인에 공개되며, 공격자는 블록체인을 스캔해 이러한 서명을 찾아내고 기록할 수 있다.
비트코인 지갑의 취약점은 과거에도 사용자에게 막대한 피해를 초래한 바 있다. 2023년 8월, 슬로우미스트(SlowMist)는 Libbitcoin explorer 라이브러리의 결함으로 인해 90만 달러 이상의 비트코인이 도난당했다고 보고했다. 같은 해 11월에는 언사이퍼드(Unciphered)가 BitcoinJS 지갑 소프트웨어의 취약점으로 인해 21억 달러 상당의 비트코인이 공격자에 의해 이동될 위험에 처해 있다고 밝혔다.




