피싱 공격에 오픈시서 20억원 규모 NFT 도난당해
오픈시 "신규 스마트 계약 배포와 무관"
이 기사를 공유합니다
정인선
정인선 2022년 2월21일 08:54
출처=오픈시 홈페이지
출처=오픈시 홈페이지

세계 최대 대체불가능토큰(NFT) 거래소 오픈시에서 피싱 공격으로 최소 170만달러(약 20억원) 상당의 NFT가 탈취됐다.

지난 19일(현지시간) 블록체인 보안 기업 팩실드가 공개한 자료에 따르면 이날 오후 5시부터 8시(미국 동부 시간)까지 약 세 시간에 걸쳐 디센트럴랜드와 지루한 원숭이들의 요트 클럽(BAYC)을 포함한 NFT 254개가 오픈시 이용자 32명의 지갑에서 무단으로 빠져나갔다. 팩실드는 탈취된 NFT의 가치를 170만달러 가량으로 추정했다.

오픈시는 이날 공식 트위터를 통해 "오픈시 웹사이트 외부에서 발생한 피싱 공격으로 보인다"고 밝혔다. 그러면서 이용자들에게 오픈시 외부 링크를 클릭하지 말 것을 당부했다. 

데빈 핀저 오픈시 최고경영책임자(CEO)도 같은 날 트위터를 통해 "피싱 공격이 있었다"고 밝혔다. 그는 "(NFT를 탈취당한) 32명의 이용자가 해커가 보낸 위장 거래에 서명하면서 그들의 NFT 일부가 빠져나간 것으로 보인다"고 말했다. 

데빈 핀저 CEO는 "해커가 탈취한 NFT의 일부를 팔아 번 170만달러 상당의 이더리움을 지갑에 보관하고 있다"면서, "2억달러(약 2400억원) 상당의 NFT가 탈취됐다는 소문은 사실과 다르다"고 덧붙였다. 

앞서 오픈시는 오래 전에 상장된 NFT 중 최근 활동이 거의 없는 NFT를 목록에서 지우기 위한 신규 스마트 계약을 배포하겠다고 18일 예고했다. 이에 일각에선 신규 스마트 계약으로의 이전 과정에서 보안 취약점이 발생한 것 아니냐는 비판이 나왔다. 

내더브 홀랜더 오픈시 최고기술책임자(CTO)는 20일 트위터를 통해 "어떠한 이상 거래도 오픈시가 최근 배포한 신규 스마트계약에 반해 실행되지 않았다"고 말했다. 이번 탈취가 신규 스마트 계약 이전 작업과 무관하다는 것이다. 

트위터 이용자 @foobar도 "해커가 이용한 컨트랙트는 (탈취 발생) 30일 이전에 심어진 것"이라면서, 오픈시의 스마트 계약 업그레이드와 이번 탈취 사이의 연관성이 없다고 주장했다. 

내더브 홀랜더 CTO는 또한 "검토 결과 대부분의 이상 주문은 이용자의 유효한 서명을 포함하고 있었다"면서, "이는 (NFT를 탈취당한) 이용자들이 언제 어디에선가 직접 서명을 했다는 뜻"이라고 말했다. 그는 "다만 이들 주문 중 서명과 동시에 오픈시로 (거래 주문 데이터가) 전송된 주문은 한 건도 없었다"고 말했다. 

오픈시는 또한 이번 탈취가 오픈시를 가장한 이메일에서 전송된 피싱 링크를 통해 발생했다는 소문도 사실이 아니라고 밝혔다.

오시에서는 지난 1월 프론트엔드 취약점을 이용해 NFT를 시장가의 약 11분의 1에 해당하는 가격에 탈취한 사례가 나오기도 했다.

제보, 보도자료는 contact@coindeskkorea.com



관련기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 6
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
피드백 2022-02-21 16:40:25
짜고 치는 거 아니여?

스폰지Bob 2022-02-21 14:33:50
오픈씨 동네북인가. 세계 최대 NFT 거래 사이트가 이래 되나...

Kim Eileen 2022-02-21 12:08:09
오픈씨가 NFT 시장 점유율 60%정도 차지하고 있는 상황에서 해킹 대상이 되는건 불가피한 상황인 것 같고, 더욱 안전한 NFT 거래 인프라를 구축하는게 시급한것 같네요

돼리우스 2022-02-21 11:57:06
룩스도 그렇고 NFT 거래 플랫폼 근간 자주 털리네요= =

김 걸 2022-02-21 11:32:18
외부에서 오는 사이트와 거래소 사이트의 메시지에 확연한 차이점이 없으면 판단이 쉽지만은 않을거 같다.