[블록체인투데이 한지혜 기자] 세계 최대의 NFT 마켓플레이스인 오픈씨(OpenSea)가 해커의 공격을 받아 약 75만달러 상당의 이더(ETH)가 도난당한 것으로 알려졌다.
암호화폐 전문매체 크립토포테이토에 따르면 24일(미국 시간) 새벽, 미국 보안회사 펙쉴드(PeckShield)의 실시간 ‘경고봇’인 펙쉴드얼러트(PekShieldAlert)에 의해 발견된 이번 공격으로 오픈씨는 약 75만달러에 해당하는 332ETH를 도난당했다.
크립토포테이토는 해커가 오픈씨의 프론트엔드(front-end)의 취약한 부분을 공격했으며 이들의 목표는 ‘지루한 원숭이들의 요트 클럽(BAYC, Bored Ape Yacht Club)’으로 추정된다고 전했다.
오픈씨 플랫폼의 프론트엔드 취약성은 여러 전문가로부터 지적된 바 있다. 이번 공격은 유명 NFT 등이 판매자가 원하지 않는 '대폭 할인된 가격’으로 판매될 수 있는 시스템 결함을 드러냈다.
이 결함은 오픈씨의 사용자가 NFT를 판매용으로 등록한 후 나중에 해당 목록이 활성화되는 것을 원하지 않을 때 나타난다. 오픈씨 플랫폼은 등록된 목록을 삭제 시 상당한 비용을 청구하는 것으로 알려져 있다. 따라서 사용자는 해당 NFT를 삭제하는 대신 다른 지갑으로 전송하여 판매 목록에서 없애버리는, 우회적 방법을 사용하는데 여기에서 문제가 발생한다.
항목이 운영체제(OS)에 판매 목록으로 표시되지는 않지만, 실제로는 OS의 API(Application Programming Interface)를 통해 여전히 활성 상태이기 때문에 OS 목록을 전시하고 이행하는 OS의 API를 사용하고 있는 라리블(Rarible)를 통해 ‘취소된 목록’이 판매될 수 있는 것이다.
이러한 약점으로 BAYC 중 하나인 ‘지루한 원숭이 #8924’가 현재 BAYC 하한가보다 92% 저렴한 가격인 6.66 ETH, 약 1만 4700달러에 판매되는 사고가 일어나기도 했다.
이번 사건의 피해자인 트위터 사용자 VirtualToast.eth는 BAYC 소유자 중 판매 목록을 삭제하지 않은 채 지갑으로 옮겼다면 오픈씨에 허락했던 모든 권한을 바로 취소할 것을 제안하기도 했다.
hjh@blockchaintoday.co.kr
