27일 외신 보도에 따르면, 슬로우미스트(SlowMist) 창립자 유 준(Yu Xun)이 ‘create2’ 기능을 악용해 자금 수신 주소를 미리 생성하는 새로운 ‘예측 주소 공격’에 대한 경고에 나섰다.
공격자는 해당 기능을 이용해 많은 지갑 보안 탐지 메커니즘을 우회할 수 있기 때문에, 지갑 사용자에게는 항상 ‘보안에 주의할 것’이 요구되고 있다.
이 공격에서는 피싱 시도가 성공한 경우에 한해서만 계약 주소가 생성되며, 그렇지 못한 경우에 주소는 그냥 비어 있게 된다.
이 같은 방법을 사용하면 공격자가 지갑 보호를 위해 마련된 다양한 보안 검사를 회피할 수 있게 돼서, 사용자는 암호화폐 거래를 처리할 때 마지막까지 경계심을 늦추지 말고 안전을 최우선으로 삼을 것이 당부된다.
또한 이날 써틱(CertiK)이 TEE(Trusted Execution Environment, 신뢰받는 실행 환경) 전용 지갑이 탑재된 모바일 장치에서 심각한 취약점을 발견했다고 경고했다.
써틱에 따르면, 해당 취약점 공격자는 TEE에 저장된 PIN을 손쉽게 추출하고 지갑에 접근하여 개인 키를 획득한 후 자산을 탈취할 수 있다.
TEE는 장치 내 지갑 설정 내 ‘보안 모드’ 제공을 통해 사용자가 PIN 코드를 통한 TEE 지갑 액세스를 허용해 왔다.
다만 이 같은 소식이 전해지고 해당 장치 제조업체는 최신 버전 업데이트를 통해 TEE 시드 라이브러리 문제를 해결했다고 발표한 상태다.