BAYC에서 메타콩즈까지… NFT 디스코드 해킹, 이렇게 털었다
이 기사를 공유합니다
블리츠랩스
블리츠랩스 2022년 4월25일 16:30
블록체인 전문 보안업체 펙실드는 4월 1일 도난당한 BAYC NFT 11개 목록을 지난 6일 자사 트위터를 통해 공개했다. 출처= 펙실드 트위터
블록체인 전문 보안업체 펙실드는 4월 1일 도난당한 BAYC NFT 11개 목록을 지난 6일 자사 트위터를 통해 공개했다. 출처= 펙실드 트위터

만우절(April Fool’s Day)이었던 지난 4월1일, 다수 대체불가능토큰(NFT) 프로젝트들이 해킹당하는 사건이 발생했다. 해커들은 이들 프로젝트들이 사용하는 디스코드(Discord) 서버를 해킹해 사용자들에게 낚시성 해킹 주소를 누르게끔 유도하는 방법을 사용했다.

가장 대표적인 피해는 바닥가(floor price) 기준 글로벌 1위 NFT 브랜드인 BAYC(Board Ape Yacht Club)에서 벌어졌다. 블록체인 전문 보안업체 펙실드(Peck shield)에 따르면, 만우절 디스코드 해킹으로 총 11개의 BAYC NFT가 도난당했다. 피해액은 총 166만달러(약 20억2200만원)로 추산된다.

BAYC 말고도 같은 날 동일한 방법으로 8개의 NFT 시리즈들이 해킹 피해를 입었다. 두들스(Doodles), 뇨키 클럽(Nyoki Club), 샤만즈(Shamanz), Zooverse(주버스), Dreadfuls(드레드풀스), Freaky Labs(프리키 랩스), Kaijukingz(카이주킹즈), 보이저 언노운(Voyager: Unknown) 등이다.

비슷한 패턴의 해킹이 4월 내내 이어졌다. 국내 클레이튼 기반 NFT 프로젝트 메타콩즈도 지난 16일 디스코드 채널이 해킹당했다. 총 79명이 피해를 입었고 피해액은 총 11.9ETH(이더리움)였다. 한화로 약 4522만원에 달한다. 해커는 메타콩즈 해외 팀 관리자 계정을 통해 악성 봇을 설치했다.

지난 19일에는 솔라나 기반 ‘돈 버는 게임’(P2E 게임) 오로리(Aurory) 디스코드가 해킹됐다. 수법은 동일하다. 관리자 계정을 탈취해 피싱 링크가 담긴 공지를 작성하는 방식이었다.

 

해킹 원리는 단순…‘어떻게든 피싱 링크를 누르게 만든다’

사실 디스코드를 이용한 해킹은 올해에만 벌써 수십 건 이상 발생한 것으로 알려져 있다. 그동안에는 BAYC 등 유명 프로젝트가 피해를 보지 않아 공론화가 다소 늦어졌을 뿐이다.

보통은 해커가 개별 사용자에게 디스코드 개인 메세지(DM, Direct Message)를 보내 가상자산 지갑을 연결하도록 유도하는 수법을 사용한다. 이보다 약간 지능적인 해커들은 디스코드 관리자 계정을 해킹해서 서버에 가짜 공지를 올려 링크를 누르면 NFT를 훔쳐 가는 방식을 쓴다.

그런데 이번에는 해킹 방법이 약간 달랐다. 해커들은 디스코드에서 ‘DM 스캠’ 방지용으로 쓰이고 있는 봇(bot) ‘티켓 툴(Ticket Tool)’을 뚫는 방법을 썼다.

블록체인 보안 솔루션 업체 센티넬(Sentinel)에 따르면, 최근 티켓 툴이 최신 버전으로 업데이트하면서 ‘add 및 remove 명령어’에 버그가 발생했다. 관리자뿐 아니라 일반 사용자들도 다른 사용자에게도 웹훅(web hooks)을 마음대로 보낼 수 있는 권한을 허용해주는 내용이었다.

이 웹훅 기능을 이용하면 마치 디스코드 서버 관리자가 올린 것처럼 가짜 공지를 작성할 수 있다. 해커들은 가짜 민팅 사이트 주소로 된 피싱(phshing) 링크를 올렸다. 프로젝트 공식 공지사항이라고 생각하고 의심 없이 첨부된 링크를 눌렀던 사용자들은 속수무책으로 지갑에 들어있던 자신의 NFT를 탈취당했다.

티켓툴의 보안상 문제를 방지하기 위한 방법은 크게 2가지다. 티켓툴의 모든 명령어를 ‘비허용’으로 전환하거나, 티켓툴 권한을 특정 역할에만 부여하도록 설정을 변경하면 된다.

그러나 디스코드 메신저 뒷단에서 벌어지는 이런 복잡한 사정들을 일반 커뮤니티 이용자들이 알기는 어렵다. 만우절 해킹 사고 때도 처음에는 디스코드의 공식 캡챠 봇(CAPTCHA BOT)이 해킹됐다고 알려졌고, NFT 프로젝트들이 자신의 디스코드에 들어와 있는 이용자들에게 캡차 봇 설정을 변경하라고 권고하면서 혼란이 가중되기도 했다.

NFT나 가상자산을 보유하고 있는 사람들은 이런 해킹 위험에서 자신의 자산을 어떻게 지켜낼 수 있을까. 기본적으로 모든 NFT 관련 대부분의 해킹은 가짜 피싱 링크를 보내고, 피해자로 하여금 거기에 지갑을 연결시키게 유도하는 방식을 쓴다는 것을 명심해야 한다.

디스코드든, 트위터든, 텔레그램이든, 개인 이메일이든 원리는 동일하다. 피싱 링크를 누르게 하면 해커가 이기고, 안 누르면 사용자가 이긴다. 요즘은 해커가 디스코드 봇으로 ‘정보무늬(QR) 코드’를 전송해서 사용자의 디스코드 접근 권한을 탈취하거나 개인 메세지(DM)로 ‘로딩되지 않는 사진’을 보내 클릭을 유도 후 사용자 계정의 비밀번호를 변경하는 방식이 유행하고 있다.

4월 한 달 동안 산발적으로 일어난 디스코드 NFT 해킹 사건들은 디지털 자산의 여러 면을 함께 보여주는 측면이 있다. NFT 등 디지털 자산이 짧은 시간에 고수익을 안겨주는 신종 투자처인 것도 맞지만, 그 자산을 해킹에서 지키기 위해서는 그에 걸맞은 수준의 디지털 감수성을 갖춰야 한다는 것이다.

NFT 분석 사이트인 논펀져블 닷컴에 따르면 2021년 NFT 시장 규모는 2020년(8200만달러) 대비 215배 늘어난 176억달러(약 21조6800억원)에 달한다. NFT로 돈을 번 사람들이 많아졌고, 해커는 그들의 지갑을 노린다. 투자자들의 신중한 지갑 관리가 필요한 시점이다.

제보, 보도자료는 contact@coindeskkorea.com



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.