초록 열기/닫기 버튼
탈중앙화 지갑서비스는 블록체인 기술을 기반으로 하여 높은 보안성을 강점으로 내세운다. 그러나 웹브라우저 확장프로그램 형태의 가상자산 지갑 ‘카이카스’는 사용자의 PC에 저장되는 설정파일에 암호화된 니모닉과 SALT값을 기록하여 보관한다. 카이카스는 니모닉을 암호화 할 때 ‘AES-GCM’이라는 공개된 대칭 암호알고리즘을 사용하고 있는데, 이때 사용자가 지정한 지갑 비밀번호가 key로 사용된다. 카이카스 지갑이 설치된 PC가 악성코드에 감염될 경우 공격자는 피해자 모르게 카이카스 지갑 비밀번호와 설정파일에 무단으로 접근할 수 있고 이를 통해 니모닉 복원이 가능하므로, 설정파일에 암호화된 니모닉을 저장하는 카이카스 지갑의 동작 방식은 보안상 매우 취약하다. 안전한 디파이 환경 구축과 사이버 범죄를 방지하기 위해, 제도적·기술적 개선방안 및 이용자 주의가 필요하다.
The decentralized wallet service is based on blockchain technology and has high security as its strength. However, the cryptocurrency wallet 'Kaikas', which is installed as an extension in the web browser, records the encrypted mnemonic and SALT values in the setting file stored on the user's PC. Kaikas uses an open symmetric encryption algorithm called ‘AES-GCM’ when encrypting the mnemonic. And at this time, the wallet password specified by the user is used as the key. If the PC where the Kaikas wallet is installed is infected with malicious code, the attacker can gain unauthorized access to the Kaikas wallet password and configuration file without the victim's knowledge, and through this, the mnemonic can be restored. Therefore, the operation method of Kaikas Wallet, which stores encrypted mnemonics in the configuration file, is very weak in terms of security. To build a safe DeFi environment and prevent cybercrime, this article asks users' attention and efforts to improve vulnerabilities in related industries.
키워드열기/닫기 버튼
Cryptocurrency, Kaikas, Cyber crime, De-fi, Klaytn
