오픈시 취약성 공격의 대상이 된 BAYC #9991. 출처=오픈시
오픈시 취약성 공격의 대상이 된 BAYC #9991. 출처=오픈시

대체불가능토큰(NFT) 거래소 오픈시(Opensea)의 프론트엔드 취약점을 이용해 NFT를 시장가의 약 11분의 1에 해당하는 가격으로 탈취한 사례가 나왔다. 

24일(현지시간) 오픈시, 이더스캔 등 데이터에 따르면 ‘jpegdegenlove’ 등 최소 3명의 공격자가 오픈시의 버그를 악용, 최소 8개 NFT를 시장가보다 훨씬 저렴한 가격에 탈취해 시세차익을 얻은 것으로 나타났다. 공격 대상에는 약 100만달러 상당의 지루한 원숭이들의 요트 클럽(BAYC), 돌연변이 원숭이들의 요트클럽(MAYC), 쿨캣츠(Cool Cats), 사이버콩즈(Cyberkongz) 등 유명 컬렉션들이 포함됐다. 

'jpegdegenlove'라는 가명으로 알려진 한 공격자는 NFT 7개를 13만3000달러(약 1억 5926만원)에 구입, 93만4000달러(약 11억1846만원)에 팔아 큰 시세차익을 얻었다.

이중 최소 19만8000달러(약 2억3710만원)에 판매되던 BAYC NFT #9991는 0.77이더리움(ETH, 약 215만원)에 구입, 20분 후 84.2ETH(약 2억3471만원)에 판매해 19만4000달러의 차익을 얻은 것으로 나타났다. 

이밖에 BAYC #8924는 6.66ETH(약 1760만원)에, #8274는 22.99ETH(약 6083만원)에 구매했다. BAYC 시리즈 하한가는 86ETH 수준이다.

해당 공격자는 BAYC NFT #9991를 소유했던 피해자 TBALER에 20ETH(약 3만7000달러)를, Vault327에 13ETH(약 3만달러)를 전송하는 등 일부 피해자에게 탈취 자금 일부를 돌려주는 여유를 보이기도 했다. 

블록체인 보안 기업 엘립틱에 따르면 해당 공격자는 블록체인 자금 추적을 막는 믹싱 사이트 토네이도캐시(Tornado Cash)를 통해 자금을 이동한 것으로 알려졌다. 이더스캔에서 해당 공격자의 주소는 ‘오픈시 기회추구형 구매자(OpenSea Opportunistic Buyer)’라는 라벨이 등록된 상태다

또다른 공격자는 MAYC NFT 1개를 1만600달러에 구입, 5시간 후 3만4800달러에 판매했다. 

BYAC 시리즈 중 일부가 최저가보다 훨씬 낮은 가격에 판매됐다. 출처=디크립트, 오픈시
BYAC 시리즈 중 일부가 최저가보다 훨씬 낮은 가격에 판매됐다. 출처=디크립트, 오픈시

해당 취약점(익스플로잇) 공격들은 과거에 등록했던 거래 희망가를 취소하지 않고도, ‘이전(Transfer)’ 기능을 활용해 거래가를 새로 등록할 수 있었던 오픈시 기능을 악용한 것으로 보인다.

오픈시에서 NFT 보유자가 NFT를 기본지갑에서 보조지갑으로 이전한 후 다시 기본지갑으로 전송하면 오픈시 사이트 화면에서는 이전 희망가가 보이지 않게 돼 가스비를 별도로 들이지 않고도 새로 희망가를 등록할 수 있다. 

하지만 백엔드 상에서는 여전히 존재해 오픈시API와 라리블에서는 해당 가격을 볼 수 있었고, 탈취범이 이를 이용해 거래를 성사한 것. 해당 버그는 지난 12월 31일 보고됐지만 오픈시는 어떤 조치도 취하지 않은 것으로 알려졌다.

오픈시는 현재까지 입장을 발표하지 않았다. 오픈시 디스코드 관계자는 코인데스크US에 “만약 완전히 취소하거나 만료되지 않았다면 그것은 여전히 유효한 것”이라고 말했다. 

NFT를 프로젝트를 운영하는 인플루언서 조 바가스는 “탈취범은 낮은 가격의 희망가가 등록됐지만 보류 상태에 있던 NFT를 스캔하고 구매하는 봇을 가지고 있었다”고 전했다. 

이번 사건을 계기로 NFT 보유자가 주동적으로 가스비를 지불하고 과거 주문내역을 완전히 취소해야 한다는 당부가 트위터에서 나오고 있다. 라리블은 지난 4일 해당 상황을 방지하고자 라리블과 오픈시 내 NFT의 과거 및 현재 거래 희망가를 볼 수 있는 주문관리 도구를 출시했다. 

김세진 객원기자. 2018년 말부터 블록체인∙암호화폐 금융(CeFi, DeFi) 시장과 연을 맺고 있습니다. 돈(Money)이 디지털로 변하는 과정을 글로 논합니다. 소량의 비트코인(BTC), 이더리움(ETH) 등을 보유하고 있습니다.

관련기사

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지