Svmuu 소식: Ledger 산하 보안 연구팀 Donjon이 MediaTek 프로세서의 보안 부팅 체인에서 한 가지 취약점을 발견했습니다. 공격자는 휴대폰을 물리적으로 접촉한 상태에서 USB 연결을 통해 운영체제가 로드되기 전에 암호화 키를 추출하고, 기기 저장소를 복호화하여 약 45초 만에 기기 PIN 코드와 암호화 지갑의 니모티크를 획득할 수 있다. 개념 증명 테스트에서 이 취약점은 Trust Wallet, Kraken Wallet, Phantom 등 지갑 앱에서 민감한 데이터를 성공적으로 추출해 냈다. 연구진은 이 취약점이 미디어텍 칩과 트러스토닉(Trustonic) 신뢰 실행 환경을 사용하는 기종을 포함해 약 25%의 안드로이드 스마트폰에 영향을 미칠 수 있다고 밝혔다. Ledger의 최고기술책임자(CTO)인 Charles Guillemet은 "스마트폰은 본래 금고로 설계된 적이 없다"며, 이 취약점은 패치를 통해 수정할 수 있지만 비보안 기기에 키를 저장할 때 내재된 위험이 있음을 보여준다고 지적하고, 사용자에게 가능한 한 빨리 보안 패치를 적용할 것을 권고했다. TRM Labs의 데이터에 따르면, 2025년 상반기 도난당한 21억 달러 규모의 암호화폐 자산 중 80% 이상이 개인 키 도난, 니모틱(mnemonic) 도용 및 프론트엔드 하이재킹 등 인프라 공격에서 비롯된 것으로 나타났다. Chainalysis 데이터에 따르면, 2024년 한 해 동안 암호화폐 도난으로 인한 손실은 34억 1천만 달러를 넘어섰으며, 개인 지갑 도난 비중은 2022년 7.3%에서 2024년 44%로 증가했다.