What is Tornado Cash?
토네이도 캐시(Tornado Cash)는 이더리움(Ethereum) 블록체인을 기반으로 구축된 분산형 개인 정보 보호 솔루션으로, 사용자에게 비구속적이고 익명적인 거래를 제공합니다. 암호화폐 믹서(cryptocurrency mixer : 암호화폐를 쪼개 누가 전송해쓴지 알 수 없도록 만드는 기술) 역할을 하며 디지털 자산 전송의 출처와 목적지를 난독화하는 메커니즘을 제공하여 사용자 개인 정보 보호 및 보안을 강화합니다. 토네이도 캐시는 특히 북한 해커와 같은 단체에 의한 자금 세탁과 같은 불법 활동에서 잠재적인 오용 가능성에 대해 조사를 받았지만 분산형 금융 영역에서는 여전히 혁신적인 도구로 남아 있습니다.
2022년에 원래 Tornado Cash 서비스는 미국 정부 제재로 인해 문제에 직면하여 특정 사용자 인구통계의 사용에 영향을 미쳤습니다. 이러한 좌절에도 불구하고 프로젝트의 오픈 소스 코드베이스는 새로운 독립적인 믹싱 서비스의 출현을 촉진했습니다.
The Compromise of the Open Source Tornado Cash
Tornado Cash는 최근 정교한 공격의 희생양이 되었습니다. 이 공격은 프로젝트의 사용자 인터페이스 내에 악성 JavaScript 코드를 비밀리에 삽입한 개발자의 기만적인 기여를 통해 실행되었습니다. 이 코드는 사용자의 개인 예금 노트를 은밀하게 캡처하여 승인되지 않은 외부 서버로 전송하도록 설계되었습니다. Tornado Cash의 예금 메모는 서비스 내에서 자금에 액세스하고 관리하는 데 중요한 개인 키처럼 작동합니다.
이 익스플로잇은 특히 ipfs.io 및 cf-ipfs.com과 같은 IPFS 게이트웨이를 통해 Tornado Cash에 액세스하는 사용자를 표적으로 삼았습니다. 이러한 게이트웨이는 Tornado Cash가 운영되는 분산형 웹에 들어가는 데 사용됩니다. 악성 코드는 개발자의 거버넌스 제안 내에 교묘하게 숨겨져 있어 일반 사용자가 감지하기가 매우 어렵습니다.
코드는 이러한 개인 예금 메모를 인코딩하고 일상적인 함수 호출로 가장하여 착취자의 서버로 보내는 방식으로 작동했습니다. 이는 사용자가 Tornado Cash의 특정 기능을 사용할 때마다 사용자 모르게 개인 정보가 유출된다는 것을 의미합니다.
이 악성 코드를 발견한 것은 Gas404로 알려진 보안 연구원(security researcher known as Gas404)의 공로로 밝혀졌으며, 조사 결과에 따르면 올해 1월 1일 이후 IPFS 네트워크에 배포된 모든 Tornado Cash 서버가 영향을 받은 것으로 여겨졌습니다.
토네이도 캐시에 부과된 제재 여파로 해당 서비스의 원래 웹사이트가 압수되었습니다. 그러나 Tornado Cash의 오픈 소스 코드베이스는 계속 독립적으로 존재하여 동일한 기반을 사용하는 새로운 그림자 믹싱 서비스의 출현으로 이어졌습니다. 이번 백도어 코드 이식 사건은 해커가 프로젝트 거버넌스를 잠시 장악했던 전년도 5월의 이전 사례에 이어 지난 1년 동안 Tornado Cash가 겪은 두 번째 주요 보안 침해입니다. 이번 침해로 인해 피해를 입은 자금의 정확한 규모는 여전히 불확실합니다.
Conclusion
정교한 공급망 공격 : Tornado Cash 오픈 소스 프로젝트가 개발자가 삽입한 악성 JavaScript 코드로 인해 손상되었습니다.
영향 : IPFS 게이트웨이를 통해 대상 Tornado Cash 프로젝트를 사용하여 거래를 수행한 사용자는 몇 달 동안 자신도 모르게 영향을 받았습니다.
발견 : 보안 연구원 Gas404가 발견한 절충안은 1년 이내에 Tornado Cash의 두 번째 주요 보안 문제로 기록되며 분산 금융에 대한 커뮤니티 경계의 중요성을 강조합니다.
분산형 금융의 지속적인 위험 : 이 사건은 분산형 플랫폼의 안전과 신뢰를 보장하는 데 있어 지속적인 과제를 강조합니다.
Tornado Cash 오픈 소스 프로젝트 타협은 분산형 금융 플랫폼의 안전과 개발자의 신뢰성에 대한 심각한 우려를 강조합니다. 이는 오픈 소스 프로젝트가 악의적인 활동으로부터 면제된다고 단순히 가정할 수 없다는 점을 분명히 상기시켜 줍니다. "다른 사람이 확인하고 있다"는 생각은 종종 잘못된 보안 감각으로 이어질 수 있습니다. 중요한 것은 이 사건은 공격자가 공급망 공격을 활용하여 민감한 애플리케이션과 네트워크를 손상시키는 방법을 보여줍니다. 이는 철저한 보안 감사, 신뢰할 수 있는 소스로부터의 코드 및 기여도 조사, 공급망 취약성으로부터 보호해야 할 필요성의 중요성을 강조합니다. 사용자에게는 자신이 사용하는 플랫폼에 대해 주의를 기울이고 관련 위험을 이해해야 한다는 점을 상기시켜 줍니다. 분명히 분산형 플랫폼에서 보안과 신뢰를 유지하는 것은 여전히 어려운 일이지만 중요한 작업입니다.
체크막스는 오픈 소스의 종속성과 관련된 위험을 탐지하기 위한 소프트웨어 구성 분석 솔루션을 제공합니다. 철저한 보안 감사와 오픈 소스 코드의 신뢰성, 기여도를 조사하고 공급망 공격으로부터 보호할 수 있는 CheckMarx SCA 솔루션을 소개해드립니다.
CheckMarx SCA(Software Composition Analysis)
소프트웨어 개발자들은 소프트웨어 개발 프로세스를 신속하게 진행하기 위해 오픈 소스 구성 요소에 점점 더 의존하고 있습니다. 프로젝트는 종종 수많은 오픈 소스 라이브러리를 사용하며, 각 라이브러리는 수많은 직접 및 일시적 종속성을 요구합니다. 이러한 오픈 소스 종속성은 사용자의 고유 코드가 아무리 안전하다고 해도 광범위한 보안 및 법적 위험에 노출될 수 있습니다.
Checkmarx SCA는 오픈 소스 종속성과 관련된 위험을 탐지하기 위한 소프트웨어 구성 분석(SCA) 솔루션입니다. 클라우드 네이티브 SaaS 솔루션으로 오픈 소스 패키지가 제기하는 위험을 쉽게 식별하고 우선 순위를 지정하며 업데이트를 적용할 수 있습니다. 이러한 위험에는 보안 취약성, 라이센스 요구 사항 및 오래된 오픈 소스 패키지가 포함되며, Checkmarx SCA는 이러한 모든 문제를 해결하여 매우 정확하고 관련성이 있으며 실행 가능한 통찰력을 제공합니다.
Checkmarx SCA는 편리한 UI를 제공하여 프로젝트 생성, 검색 실행 및 결과 보기를 쉽게 합니다. 또한 (REST) API, CLI 도구 및 전문 플러그인을 제공하여 오픈 소스 보안 조치를 소프트웨어 개발 수명 주기(SDLC)에 원활하게 통합할 수 있습니다.
악용 가능한 경로
Checkmarx는 업계 최고의 SAST 기술의 소스 수준 통찰력을 활용하여 SCA의 표준을 높임으로써 보안 팀이 소스 코드에서 실제 Expectable Path를 가진 취약성을 쉽게 식별할 수 있도록 지원합니다. 이를 통해 개발자는 문제 해결 노력의 우선순위를 지정할 수 있으므로 취약성 감지에서 문제 해결에 이르는 시간이 크게 단축되고 개발자의 생산성이 향상됩니다.
자동 알림
당사의 전담 오픈 소스 보안 연구 팀은 프로젝트에 사용되는 오픈 소스 패키지에 대한 최신 정보를 항상 정확하게 파악하고 있는지 확인합니다. 클라우드 기반 데이터베이스는 지속적으로 업데이트되어 최신 취약점이 포함되도록 합니다. 오픈 소스 패키지에 영향을 미치는 새로운 취약점이 공개되면 자동으로 알림을 보내고 프로젝트의 위험 수준을 다시 계산합니다.
워크플로우
Zip 파일 또는 Git 저장소에서 소스 코드에 대한 검색을 실행합니다. Checkmarx 독점 검색 엔진은 검색된 프로젝트 내의 특정 구성 요소 버전과 빌드 중에 해결된 모든 선언 또는 일시적 종속성을 감지하고 식별합니다. 이는 가능한 한 가장 높은 정확도로 최대 범위를 제공하여 업데이트 적용 시간을 단축합니다. Checkmarx SCA는 취약한 패키지, 오래된 패키지 및 라이센스 위반을 식별합니다.
검색이 완료되면 종합적인 위험 보고서가 생성됩니다. 이러한 결과는 웹 포털에서 보거나, pdf, xml, json 또는 csv로 내보내거나, API 또는 전문 플러그인을 통해 액세스할 수 있습니다. 웹 포털은 조직의 모든 프로젝트에 대한 개요를 보여주기 때문에 프로젝트가 노출되는 위험에 대한 통찰력을 한눈에 얻을 수 있습니다. 결과를 드릴다운하여 프로젝트의 개별 패키지 및 취약성에 대한 자세한 분석을 볼 수 있습니다. SDLC 전반에 걸쳐 프로젝트를 추적하고, 연속적인 검색 결과를 비교하여 새로운 취약성을 식별하고 업데이트 적용 작업을 추적할 수 있습니다. Checkmarx 분석 팀이 프로젝트의 하나 이상의 패키지에서 새로운 취약성을 발견한 경우 이메일 알림을 활성화한 경우 취약성에 대해 이메일로 알립니다.
클라우드로 전송되는 데이터에 대한 삭제 정책
각 고객에게는 Checkmarx SCA에서 생성한 독점 설정 및 메타 데이터와 함께 데이터를 저장하는 암호화된 전용 S3 기반 저장 경로가 프로비저닝됩니다. 저장 경로는 특정 고객과 승인된 인증된 사용자만 액세스할 수 있습니다. 업로드는 TLS 1.2를 통해 온디맨드 방식으로만 액세스할 수 있는 사전 서명된 시간 제한 URL을 사용하여 수행됩니다. 또한 소스 코드가 Checkmarx SCA 클라우드에 업로드되는 경우 최대 24시간의 제한된 기간 동안만 저장됩니다. 메타데이터 및 매니페스트 파일은 보존 기간이 필요한 한 저장됩니다.
공급망 공격 방지
공급망 공격은 개발자가 자신의 PC에서 유해한 활동을 시작하는 패키지를 다운로드하게 함으로써 자행됩니다.
이는 해커에게 민감한 정보에 대한 액세스 권한을 제공하고 개발 프로세스에서 심각한 위험을 초래할 수 있습니다.
Checkmarx는 공급망 공격으로부터 보호하기 위한 노력의 최전선에 있습니다. Checkmarx SCA 스캐너는 광범위한 공급망 위험이 있는 패키지를 식별하고 스캔 결과에 해당 위험을 나열합니다. Checkmarx SCA 정책 관리를 사용하면 프로젝트의 오픈 소스 패키지에 맞춤형 보안 규칙을 적용할 수 있으며, 이를 통해 자체 정의된 보안 정책을 준수하지 않는 프로젝트를 쉽게 식별할 수 있습니다.
체크막스 SCA 솔루션에 대한 자세한 정보는 홈페이지를 통해 확인 부탁드립니다.
▶Checkmarx SCA(Software Composition Analysis)
https://www.softwidesec.com/Checkmarx
What is Tornado Cash?
토네이도 캐시(Tornado Cash)는 이더리움(Ethereum) 블록체인을 기반으로 구축된 분산형 개인 정보 보호 솔루션으로, 사용자에게 비구속적이고 익명적인 거래를 제공합니다. 암호화폐 믹서(cryptocurrency mixer : 암호화폐를 쪼개 누가 전송해쓴지 알 수 없도록 만드는 기술) 역할을 하며 디지털 자산 전송의 출처와 목적지를 난독화하는 메커니즘을 제공하여 사용자 개인 정보 보호 및 보안을 강화합니다. 토네이도 캐시는 특히 북한 해커와 같은 단체에 의한 자금 세탁과 같은 불법 활동에서 잠재적인 오용 가능성에 대해 조사를 받았지만 분산형 금융 영역에서는 여전히 혁신적인 도구로 남아 있습니다.
2022년에 원래 Tornado Cash 서비스는 미국 정부 제재로 인해 문제에 직면하여 특정 사용자 인구통계의 사용에 영향을 미쳤습니다. 이러한 좌절에도 불구하고 프로젝트의 오픈 소스 코드베이스는 새로운 독립적인 믹싱 서비스의 출현을 촉진했습니다.
The Compromise of the Open Source Tornado Cash
Tornado Cash는 최근 정교한 공격의 희생양이 되었습니다. 이 공격은 프로젝트의 사용자 인터페이스 내에 악성 JavaScript 코드를 비밀리에 삽입한 개발자의 기만적인 기여를 통해 실행되었습니다. 이 코드는 사용자의 개인 예금 노트를 은밀하게 캡처하여 승인되지 않은 외부 서버로 전송하도록 설계되었습니다. Tornado Cash의 예금 메모는 서비스 내에서 자금에 액세스하고 관리하는 데 중요한 개인 키처럼 작동합니다.
이 익스플로잇은 특히 ipfs.io 및 cf-ipfs.com과 같은 IPFS 게이트웨이를 통해 Tornado Cash에 액세스하는 사용자를 표적으로 삼았습니다. 이러한 게이트웨이는 Tornado Cash가 운영되는 분산형 웹에 들어가는 데 사용됩니다. 악성 코드는 개발자의 거버넌스 제안 내에 교묘하게 숨겨져 있어 일반 사용자가 감지하기가 매우 어렵습니다.
코드는 이러한 개인 예금 메모를 인코딩하고 일상적인 함수 호출로 가장하여 착취자의 서버로 보내는 방식으로 작동했습니다. 이는 사용자가 Tornado Cash의 특정 기능을 사용할 때마다 사용자 모르게 개인 정보가 유출된다는 것을 의미합니다.
이 악성 코드를 발견한 것은 Gas404로 알려진 보안 연구원(security researcher known as Gas404)의 공로로 밝혀졌으며, 조사 결과에 따르면 올해 1월 1일 이후 IPFS 네트워크에 배포된 모든 Tornado Cash 서버가 영향을 받은 것으로 여겨졌습니다.
토네이도 캐시에 부과된 제재 여파로 해당 서비스의 원래 웹사이트가 압수되었습니다. 그러나 Tornado Cash의 오픈 소스 코드베이스는 계속 독립적으로 존재하여 동일한 기반을 사용하는 새로운 그림자 믹싱 서비스의 출현으로 이어졌습니다. 이번 백도어 코드 이식 사건은 해커가 프로젝트 거버넌스를 잠시 장악했던 전년도 5월의 이전 사례에 이어 지난 1년 동안 Tornado Cash가 겪은 두 번째 주요 보안 침해입니다. 이번 침해로 인해 피해를 입은 자금의 정확한 규모는 여전히 불확실합니다.
Conclusion
정교한 공급망 공격 : Tornado Cash 오픈 소스 프로젝트가 개발자가 삽입한 악성 JavaScript 코드로 인해 손상되었습니다.
영향 : IPFS 게이트웨이를 통해 대상 Tornado Cash 프로젝트를 사용하여 거래를 수행한 사용자는 몇 달 동안 자신도 모르게 영향을 받았습니다.
발견 : 보안 연구원 Gas404가 발견한 절충안은 1년 이내에 Tornado Cash의 두 번째 주요 보안 문제로 기록되며 분산 금융에 대한 커뮤니티 경계의 중요성을 강조합니다.
분산형 금융의 지속적인 위험 : 이 사건은 분산형 플랫폼의 안전과 신뢰를 보장하는 데 있어 지속적인 과제를 강조합니다.
Tornado Cash 오픈 소스 프로젝트 타협은 분산형 금융 플랫폼의 안전과 개발자의 신뢰성에 대한 심각한 우려를 강조합니다. 이는 오픈 소스 프로젝트가 악의적인 활동으로부터 면제된다고 단순히 가정할 수 없다는 점을 분명히 상기시켜 줍니다. "다른 사람이 확인하고 있다"는 생각은 종종 잘못된 보안 감각으로 이어질 수 있습니다. 중요한 것은 이 사건은 공격자가 공급망 공격을 활용하여 민감한 애플리케이션과 네트워크를 손상시키는 방법을 보여줍니다. 이는 철저한 보안 감사, 신뢰할 수 있는 소스로부터의 코드 및 기여도 조사, 공급망 취약성으로부터 보호해야 할 필요성의 중요성을 강조합니다. 사용자에게는 자신이 사용하는 플랫폼에 대해 주의를 기울이고 관련 위험을 이해해야 한다는 점을 상기시켜 줍니다. 분명히 분산형 플랫폼에서 보안과 신뢰를 유지하는 것은 여전히 어려운 일이지만 중요한 작업입니다.
체크막스는 오픈 소스의 종속성과 관련된 위험을 탐지하기 위한 소프트웨어 구성 분석 솔루션을 제공합니다. 철저한 보안 감사와 오픈 소스 코드의 신뢰성, 기여도를 조사하고 공급망 공격으로부터 보호할 수 있는 CheckMarx SCA 솔루션을 소개해드립니다.
CheckMarx SCA(Software Composition Analysis)
소프트웨어 개발자들은 소프트웨어 개발 프로세스를 신속하게 진행하기 위해 오픈 소스 구성 요소에 점점 더 의존하고 있습니다. 프로젝트는 종종 수많은 오픈 소스 라이브러리를 사용하며, 각 라이브러리는 수많은 직접 및 일시적 종속성을 요구합니다. 이러한 오픈 소스 종속성은 사용자의 고유 코드가 아무리 안전하다고 해도 광범위한 보안 및 법적 위험에 노출될 수 있습니다.
Checkmarx SCA는 오픈 소스 종속성과 관련된 위험을 탐지하기 위한 소프트웨어 구성 분석(SCA) 솔루션입니다. 클라우드 네이티브 SaaS 솔루션으로 오픈 소스 패키지가 제기하는 위험을 쉽게 식별하고 우선 순위를 지정하며 업데이트를 적용할 수 있습니다. 이러한 위험에는 보안 취약성, 라이센스 요구 사항 및 오래된 오픈 소스 패키지가 포함되며, Checkmarx SCA는 이러한 모든 문제를 해결하여 매우 정확하고 관련성이 있으며 실행 가능한 통찰력을 제공합니다.
Checkmarx SCA는 편리한 UI를 제공하여 프로젝트 생성, 검색 실행 및 결과 보기를 쉽게 합니다. 또한 (REST) API, CLI 도구 및 전문 플러그인을 제공하여 오픈 소스 보안 조치를 소프트웨어 개발 수명 주기(SDLC)에 원활하게 통합할 수 있습니다.
악용 가능한 경로
Checkmarx는 업계 최고의 SAST 기술의 소스 수준 통찰력을 활용하여 SCA의 표준을 높임으로써 보안 팀이 소스 코드에서 실제 Expectable Path를 가진 취약성을 쉽게 식별할 수 있도록 지원합니다. 이를 통해 개발자는 문제 해결 노력의 우선순위를 지정할 수 있으므로 취약성 감지에서 문제 해결에 이르는 시간이 크게 단축되고 개발자의 생산성이 향상됩니다.
자동 알림
당사의 전담 오픈 소스 보안 연구 팀은 프로젝트에 사용되는 오픈 소스 패키지에 대한 최신 정보를 항상 정확하게 파악하고 있는지 확인합니다. 클라우드 기반 데이터베이스는 지속적으로 업데이트되어 최신 취약점이 포함되도록 합니다. 오픈 소스 패키지에 영향을 미치는 새로운 취약점이 공개되면 자동으로 알림을 보내고 프로젝트의 위험 수준을 다시 계산합니다.
워크플로우
Zip 파일 또는 Git 저장소에서 소스 코드에 대한 검색을 실행합니다. Checkmarx 독점 검색 엔진은 검색된 프로젝트 내의 특정 구성 요소 버전과 빌드 중에 해결된 모든 선언 또는 일시적 종속성을 감지하고 식별합니다. 이는 가능한 한 가장 높은 정확도로 최대 범위를 제공하여 업데이트 적용 시간을 단축합니다. Checkmarx SCA는 취약한 패키지, 오래된 패키지 및 라이센스 위반을 식별합니다.
검색이 완료되면 종합적인 위험 보고서가 생성됩니다. 이러한 결과는 웹 포털에서 보거나, pdf, xml, json 또는 csv로 내보내거나, API 또는 전문 플러그인을 통해 액세스할 수 있습니다. 웹 포털은 조직의 모든 프로젝트에 대한 개요를 보여주기 때문에 프로젝트가 노출되는 위험에 대한 통찰력을 한눈에 얻을 수 있습니다. 결과를 드릴다운하여 프로젝트의 개별 패키지 및 취약성에 대한 자세한 분석을 볼 수 있습니다. SDLC 전반에 걸쳐 프로젝트를 추적하고, 연속적인 검색 결과를 비교하여 새로운 취약성을 식별하고 업데이트 적용 작업을 추적할 수 있습니다. Checkmarx 분석 팀이 프로젝트의 하나 이상의 패키지에서 새로운 취약성을 발견한 경우 이메일 알림을 활성화한 경우 취약성에 대해 이메일로 알립니다.
클라우드로 전송되는 데이터에 대한 삭제 정책
각 고객에게는 Checkmarx SCA에서 생성한 독점 설정 및 메타 데이터와 함께 데이터를 저장하는 암호화된 전용 S3 기반 저장 경로가 프로비저닝됩니다. 저장 경로는 특정 고객과 승인된 인증된 사용자만 액세스할 수 있습니다. 업로드는 TLS 1.2를 통해 온디맨드 방식으로만 액세스할 수 있는 사전 서명된 시간 제한 URL을 사용하여 수행됩니다. 또한 소스 코드가 Checkmarx SCA 클라우드에 업로드되는 경우 최대 24시간의 제한된 기간 동안만 저장됩니다. 메타데이터 및 매니페스트 파일은 보존 기간이 필요한 한 저장됩니다.
공급망 공격 방지
공급망 공격은 개발자가 자신의 PC에서 유해한 활동을 시작하는 패키지를 다운로드하게 함으로써 자행됩니다.
이는 해커에게 민감한 정보에 대한 액세스 권한을 제공하고 개발 프로세스에서 심각한 위험을 초래할 수 있습니다.
Checkmarx는 공급망 공격으로부터 보호하기 위한 노력의 최전선에 있습니다. Checkmarx SCA 스캐너는 광범위한 공급망 위험이 있는 패키지를 식별하고 스캔 결과에 해당 위험을 나열합니다. Checkmarx SCA 정책 관리를 사용하면 프로젝트의 오픈 소스 패키지에 맞춤형 보안 규칙을 적용할 수 있으며, 이를 통해 자체 정의된 보안 정책을 준수하지 않는 프로젝트를 쉽게 식별할 수 있습니다.
체크막스 SCA 솔루션에 대한 자세한 정보는 홈페이지를 통해 확인 부탁드립니다.
▶Checkmarx SCA(Software Composition Analysis)
https://www.softwidesec.com/Checkmarx