2명의 연구자가 2013년에 생성된 암호화폐 지갑의 비밀번호를 찾아내어 약 300만 달러 상당의 비트코인 43.6 BTC를 회수하는 데 성공했다고 더블록이 28일(현지시간) 보도했다. 해당 지갑의 주인은 암호 관리자(RoboForm)을 사용해 비밀번호를 생성했었다.

하드웨어 해커로 알려진 연구자 조 그랜드(Joe Grand)는 친구와 함께 비밀번호 생성기 RoboForm의 오래된 취약점을 이용해 비밀번호를 찾아냈다. 이 취약점은 2015년에 수정되었지만, 이전에 생성된 비밀번호에는 여전히 영향을 미쳤다.

익명의 주인 마이클(Michael)은 2013년 암호화폐 지갑을 설정하면서 RoboForm을 이용해 고유의 비밀번호를 만들었다. 마이클은 보안 문제를 우려해 비밀번호를 RoboForm에 저장하지 않고 암호화된 파일에 보관했다. 그러나 이 암호화된 파일이 손상되면서 그는 43.6 BTC에 접근할 수 없게 되었다.

마이클은 2022년 조 그랜드에게 도움을 요청했고, 그랜드는 브루노(Bruno)라는 친구와 함께 RoboForm 소프트웨어를 분석했다. 그들은 RoboForm의 난수 생성기에 취약점이 있었음을 발견했다. 이 난수 생성기는 비밀번호를 사용자가 비밀번호를 생성한 특정 날짜와 시간과 연결해 생성하는 방식이었다.

이렇게 발견된 취약점을 이용해 그랜드와 그의 친구는 결국 마이클의 비밀번호를 복구했고, 마이클은 43.6 BTC에 다시 접근할 수 있게 되었다.

이번 사례는 암호화폐 보안의 중요성을 다시 한번 일깨워주는 동시에, 적절한 도구와 전문 지식이 있다면 오래된 취약점도 극복할 수 있음을 보여준다.