바닥가(floor price) 기준 1위 대체불가능토큰(NFT) 브랜드 ‘보어드 에이프 요트 클럽(Board Ape Yacht Club, BAYC)’ 공식 인스타그램 계정이 해킹 당했다. 공격자는 계정 해킹 후 NFT 보유자가 자신이 올린 악성링크를 클릭하도록 유도해 이들의 NFT를 탈취한 것으로 알려졌다. 피해액은 현재까지 약 280만달러(약 35억원)로 추산된다.
25일(현지시간) BAYC는 공식 인스타그램 계정이 해킹된 후 보유자를 대상으로 피싱 공격이 발생했다고 밝혔다.
공격자는 BAYC 인스타그램 계정을 해킹한 후 BAYC 거버넌스∙유틸리티 토큰인 랜드(LAND)를 에어드롭한다는 가짜 업데이트를 게시, 사용자에게 링크 클릭과 지갑 연결을 유도했다. BAYC 사업 로드맵에 메타버스 게임과 가상토지 계획이 포함된 점을 이용한 것.
에어드롭은 특정 토큰 보유자에게 무료로 가상자산을 증정하는 행위로, 주로 가상자산 프로젝트에서 새로운 사용자를 끌어들이거나 커뮤니티를 키우기 위해 사용하는 인센티브 전략이다. 해커는 사용자가 해당 게시물을 보고 에어드롭을 신청하기 위해 지갑을 연결했을 때 NFT를 탈취했다.
BAYC는 “인스타그램 계정이 해킹당했다”면서 “오늘은 민팅(발행)을 하지 않는다. 사용자는 어떤 링크도 클릭하지 말고, 어떤 링크에도 자신의 지갑을 연결하거나 발행하면 안된다”고 당부했다.
온체인 데이터 분석업체 Zachxbt에 따르면 해커는 BAYC NFT 4개를 비롯해, 뮤턴트 에이프 요트 클럽(MAYC) 7개, 보어드 에이프 켄넬 클럽(BAKC) 3개, 클론엑스(CloneX) 1개 등을 훔친 것으로 알려졌다.
이더스캔 데이터에 따르면 공격자로 알려진 지갑에는 NFT 91개가 있다. 제리언(Zerion)에 따르면 해당 NFT들은 각 콜렉션의 하한가를 기준으로 280만달러에 상응한다.
BAYC 관계자는 해킹과 관련해 “해킹에 영향을 받았거나 정보가 있을 경우 사용자가 먼저 이메일로 연락해야 하며 팀은 사용자에게 먼저 연락하거나 시드문구를 절대 묻지 않는다”면서 “해커가 어떻게 자사 계정에 대한 접근권한을 얻었는지 인스타그램 측과 함께 조사하고 있다”고 전했다.
인스타그램, 트위터, 디스코드 등 NFT 프로젝트의 소셜네트워크(SNS) 계정을 해킹, 악성링크를 공유해 보유자들로부터 NFT를 탈취한 사례는 이번이 처음이 아니다.
지난 1일에는 BAYC의 디스코드 계정이 해킹돼 NFT 보유자들이 166만달러(약 20억원) 상당의 BAYC NFT 11개를 도난당했다. 같은날 두들스(Doodles), 뇨키 클럽(Nyoki Club), 샤만즈(Shamanz), 주버스(Zooverse), 드레드풀스(Dreadfuls), 프리키 랩스(Freaky Labs), 카이주킹즈(Kaijukingz), 보이저 언노운(Voyager: Unknown) 등 유명 NFT 프로젝트들도 디스코드 계정을 해킹당해 보유자가 피해를 입었다.
지난 8일 인기 NFT 프로젝트 중 하나인 아즈키(Azuki) 프로젝트도 트위터 계정을 해킹당해 보유자들이 같은 방법으로 손해를 봤다.
관련기사
- BAYC에서 메타콩즈까지… NFT 디스코드 해킹, 이렇게 털었다
- [아침브리핑] 아즈키 NFT 최고가 경신··1400만달러
- 액시 인피니티 해킹된 돈 어떻게?‥버그 바운티 등 대책 필요
- BAYC의 코인 APE, 롤러코스터‥한때 80% 급락
- BAYC의 유가랩스, 메타버스 승부수‥가상토지 팔아 돈번다
- 가상자산 해킹 주의보…내 코인 지키는 방법은?
- NFT·조각투자도 증권일까?..."유틸리티성 등 따져봐야"
- 유가랩스 BAYC 바닥가, 사상 최고치 기록
- 'BAYC' 유가랩스의 메타버스 NFT, 3700억원어치 팔렸다
- APE, 3일만에 40% 급락…"유가랩스에 무슨 일?"
- 코인 정보 사이트 댑레이더 '피싱 사이트' 등장..."주의 필요"
- 아즈키 공식 트위터 해킹…30분 만에 9억 탈취
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지