NFT 스마트 계약용 오픈소스 유연성 악용한 것으로 파악
[매일일보 조성준 기자] 현재 세계 최대 NFT(대체불가토큰) 거래 플랫폼인 ‘오픈씨’가 피싱 공격을 받아 NFT를 도난당하는 일이 발생했다. 보안에 특화된 것으로 알려진 NFT가 허점을 노출하면서 의구심과 우려가 확산되고 있다.
22일 ICT업계에 따르면 IT 전문매체 ‘더버지’는 19일(현지시간)에 오픈씨에 발생한 피싱 공격으로 32명의 사용자가 총 254개 NFT를 도난당했다고 보도했다. 보도에 따르면 이날 오후 5~8시 사이 총 32명의 사용자 계정에서 비정상적인 NFT 전송이 감지됐고, 해당 NFT 소유권이 무상으로 양도됐다.
사고 발생 후 20일 데빈 핀저 오픈씨 최고경영자(CEO)는 자신의 트위터에 “현재까지 총 32명의 사용자들이 해커의 악의적인 페이로드(스팸메일 등 악성 코드가 심어진 이메일)에 서명했으며, 일부 NFT가 도난당했다”고 밝혔다.
블록체인 보안 업체 ‘펙쉴드(PeckShield)’가 파악한 바에 따르면 도난당한 NFT에는 ‘지루한 원숭이 요트 클럽 (BAYC)’과 ‘아즈키(Azuki)’와 같은 인기 컬렉션이 포함됐다. 피해액은 총 170만달러(약 20억3400만원)에 달하는 것으로 추산된다.
‘더버지’는 이번 공격이 대부분의 NFT 스마트 계약에 사용되는 ‘와이번 프로토콜’이라는 오픈소스 표준의 유연성을 악용해 일어난 것으로 봤다. 계약 일부분은 이용자들의 서명을 받고 공백 상태인 다른 부분에 해커들이 서명해 아무런 비용도 지불하지 않고 NFT의 소유권을 이전하는 방식이다. 이용자들이 백지수표에 서명한 후 해커들은 공백인 나머지 부분을 채워 넣어 NFT를 가져간 셈이다.
도난당한 NFT의 일부는 반환됐으며, 해커들은 훔친 NFT의 일부를 판매해 지갑에 170만달러(약 20억3400만원)의 이더리움을 보유하고 있을 것으로 예상된다.
한 때 공격으로 인한 피해가 2억달러(약 2400억원)에 달한다는 소문이 돌기도 했지만 이에 대해 핀저 CEO는 사실 무근이라고 밝혔다.
NFT가 피싱을 당한 첫 사례가 발견되면서 통화와 달리 대체 불가능하다는 고유성도 흔들릴 전망이다. 실제로 최근 1년간 NFT 사용이 늘면서 관련 범죄도 갈수록 증가하는 추세다. 시중에 있는 이미지를 도용해 ‘짝퉁’ NFT를 만들거나, 가짜 NFT 스토어 및 악성코드를 심은 NFT 배포, 쉼표를 마침표로 바꿔 가격을 교묘히 속이는 방법 등 수법도 다양해지고 있다.