보어드 에이프 요트 클럽(BAYC)로 유명한 유가랩스. 출처=유가랩스
보어드 에이프 요트 클럽(BAYC)로 유명한 유가랩스. 출처=유가랩스

바닥가(floor price) 기준 1위 대체불가능토큰(NFT) 브랜드 ‘보어드 에이프 요트 클럽(Board Ape Yacht Club, BAYC)’ 공식 인스타그램 계정이 해킹 당했다. 공격자는 계정 해킹 후 NFT 보유자가 자신이 올린 악성링크를 클릭하도록 유도해 이들의 NFT를 탈취한 것으로 알려졌다. 피해액은 현재까지 약 280만달러(약 35억원)로 추산된다. 

25일(현지시간) BAYC는 공식 인스타그램 계정이 해킹된 후 보유자를 대상으로 피싱 공격이 발생했다고 밝혔다.

공격자는 BAYC 인스타그램 계정을 해킹한 후 BAYC 거버넌스∙유틸리티 토큰인 랜드(LAND)를 에어드롭한다는 가짜 업데이트를 게시, 사용자에게 링크 클릭과 지갑 연결을 유도했다. BAYC 사업 로드맵에 메타버스 게임과 가상토지 계획이 포함된 점을 이용한 것.

에어드롭은 특정 토큰 보유자에게 무료로 가상자산을 증정하는 행위로, 주로 가상자산 프로젝트에서 새로운 사용자를 끌어들이거나 커뮤니티를 키우기 위해 사용하는 인센티브 전략이다. 해커는 사용자가 해당 게시물을 보고 에어드롭을 신청하기 위해 지갑을 연결했을 때 NFT를 탈취했다.

BAYC는 “인스타그램 계정이 해킹당했다”면서 “오늘은 민팅(발행)을 하지 않는다. 사용자는 어떤 링크도 클릭하지 말고, 어떤 링크에도 자신의 지갑을 연결하거나 발행하면 안된다”고 당부했다. 

온체인 데이터 분석업체 Zachxbt에 따르면 해커는 BAYC NFT 4개를 비롯해, 뮤턴트 에이프 요트 클럽(MAYC) 7개, 보어드 에이프 켄넬 클럽(BAKC) 3개, 클론엑스(CloneX) 1개 등을 훔친 것으로 알려졌다

이더스캔 데이터에 따르면 공격자로 알려진 지갑에는 NFT 91개가 있다. 제리언(Zerion)에 따르면 해당 NFT들은 각 콜렉션의 하한가를 기준으로 280만달러에 상응한다.

BAYC 관계자는 해킹과 관련해 “해킹에 영향을 받았거나 정보가 있을 경우 사용자가 먼저 이메일로 연락해야 하며 팀은 사용자에게 먼저 연락하거나 시드문구를 절대 묻지 않는다”면서 “해커가 어떻게 자사 계정에 대한 접근권한을 얻었는지 인스타그램 측과 함께 조사하고 있다”고 전했다.

인스타그램, 트위터, 디스코드 등 NFT 프로젝트의 소셜네트워크(SNS) 계정을 해킹, 악성링크를 공유해 보유자들로부터 NFT를 탈취한 사례는 이번이 처음이 아니다. 

지난 1일에는 BAYC의 디스코드 계정이 해킹돼 NFT 보유자들이 166만달러(약 20억원) 상당의 BAYC NFT 11개를 도난당했다. 같은날 두들스(Doodles), 뇨키 클럽(Nyoki Club), 샤만즈(Shamanz), 주버스(Zooverse), 드레드풀스(Dreadfuls), 프리키 랩스(Freaky Labs), 카이주킹즈(Kaijukingz), 보이저 언노운(Voyager: Unknown) 등 유명 NFT 프로젝트들도 디스코드 계정을 해킹당해 보유자가 피해를 입었다. 

지난 8일 인기 NFT 프로젝트 중 하나인 아즈키(Azuki) 프로젝트도 트위터 계정을 해킹당해 보유자들이 같은 방법으로 손해를 봤다. 

김세진 객원기자. 2018년 말부터 블록체인∙암호화폐 금융(CeFi, DeFi) 시장과 연을 맺고 있습니다. 돈(Money)이 디지털로 변하는 과정을 글로 논합니다. 소량의 비트코인(BTC), 이더리움(ETH) 등을 보유하고 있습니다.

관련기사

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지