블록체인 >

NFT 해킹 주의보...오픈씨·BAYC 다 뚫렸다

올 1분기 NFT 해킹 피애액 4900만달러
상당수 소셜미디어 이용해 사기
오픈시·BAYC 등 이미 털려
[파이낸셜뉴스] 대체불가능한토큰(Non-Fungible Tokens, NFT) 시장이 커지면서 해킹 위협이 급증하고 있다.

오픈씨(OpenSea), 지루한원숭이들의요트클럽(Bored Ape Yacht Club·BAYC) 등 내로라 하는 NFT 플랫폼들이 잇따라 해커들이 먹잇감이 된 것이다. NFT 시장이 성장함에 따라 대규모 자금이 유통되는 것을 겨냥한 것인데, 이용자들의 각별한 주의를 요한다.

소셜미디어 이용한 NFT 해킹 증가

대체불가능한토큰(Non-Fungible Tokens, NFT) 시장이 커지면서 이를 겨냥한 해킹 사고가 잇따라 발생하고 있다. 오픈시(OpenSea), 지루한원숭이들의요트클럽(Bored Ape Yacht Club·BAYC) 등 내로라 하는 글로벌 NFT 플랫폼 등이 이미 먹잇감이 됐다. /사진=뉴스1 외신화상
대체불가능한토큰(Non-Fungible Tokens, NFT) 시장이 커지면서 이를 겨냥한 해킹 사고가 잇따라 발생하고 있다. 오픈시(OpenSea), 지루한원숭이들의요트클럽(Bored Ape Yacht Club·BAYC) 등 내로라 하는 글로벌 NFT 플랫폼 등이 이미 먹잇감이 됐다. /사진=뉴스1 외신화상

28일(현지시간) 마켓인사이더에 따르면 지난 1·4분기에 총 20건의 NFT 해킹으로 4900만달러(약 620억원) 상당의 NFT가 도난당한 것으로 나타났다.

보안업체 슬로우미스트해킹 분석에 따르면 NFT 해킹의 상당수는 소셜미디어를 이용해 이뤄지는 것으로 나타났다. 해커가 소셜미디어 이용자에게 특정 링크가 삽입된 개인메시지를 보내 해킹 프로그램 설치를 유도하거나, 피싱사이트 링크가 담긴 개인메시지를 보내 이용자들이 자신의 지갑을 의심없이 연결하도록 하는 방식 등이다.

실제 최근 가상자산 업계를 발칵 뒤집어 놓은 BAYC에 대한 해킹에도 소셜미디어가 이용됐다. 해커는 BAYC의 공식 인스타그램 계정을 해킹으로 탈취한 뒤 새로운 NFT를 발행(민팅)할 수 있는 링크라며, 악성코드를 배포했다. 이 해킹으로 300만달러(약 38억원) 상당의 NFT가 도난당한 것으로 알려졌다.

지난 25일(현지시간)에는 필리핀대학교가 운영하는 공식 트위터 계정인 @upsystem이 NFT 사기를 목적으로 해킹되는 사건이 발생한 것이다. @upsystem은 20만 팔로워를 가지고 있는데, 사기 조직은 계정명을 '다카시 무라카미(takashi murakami)'로 변경한 뒤 "론칭을 기념하기 위해 '무라카미 플라워 시드(Murakami Flower Seeds)를 에어드롭 한다"는 문구와 피싱 사이트로 연결되는 링크를 함께 게시했다.

다카시 무라카미는 일본의 팝아티스트로 활짝 웃는 꽃 캐릭터로 잘 알려져 있다. 실제 자신의 작품을 '무라카미 플라워 시드'라는 NFT 시리즈로 선보이기도 했다. 사기조직들은 이 트위터 계정을 다카시 무라카미의 공식 계정인 것처럼 속여 가스비를 내도록 유도해 피싱사기를 시도한 것으로 보인다. 피해 규모는 알려지지 않고 있다.

이용자, NFT 해킹 위험 인지·주의 필요

글로벌 최대 NFT 마켓플레이스인 오픈시도 잇따라 해커들의 공격 대상이 됐다. 지난 1월 75만달러(약 9억원) 상당의 NFT가 도난당한 데 이어, 2월에도 해킹으로 170만달러(약 21억원) 규모의 피해가 발생했다.

이번 공격은 회사의 e메일로 가상한 피싱에 의한 것으로 사용자 17명이 속았고, 이들 중 일부가 보유 NFT를 도난 당했다.
데빈 핀저 오픈씨 최고경영자(CEO)는 "이번 사건은 피싱 사건이며 오픈씨 웹사이트에서 시작된 것이 아니라고 결론 내렸다"고 말했다.

NFT 해킹을 피하기 위해서는 △소셜미디어에서 낯선 사람과 대화하지 말고 △특히 트위터나 디스코드를 통한 가짜 민팅 사이트에 주의를 기울여야 하며 △공식웹사이트를 통한 공지 외에는 의심할 필요가 있다. 또 △가상자산 지갑 복구 문구는 누구와도 공유하지 않으며 △알 수 없는 링크는 클릭하지 말아야 하고 △다양한 플랫폼에도 동일한 암호를 사용하는 것을 피하며 △중요 자산은 하드웨어지갑에 보관하고 △스마트계약 승인을 제한해야 한다.

ronia@fnnews.com 이설영 기자