(사진=픽사베이)
글로벌 최대 규모의 NFT 마켓플레이스 ‘오픈씨(OpenSea)’가 해커의 공격을 받아 암호화폐를 도난당했다.
암호화폐 전문매체인 크립토포테이토의 보도에 의하면 지난 24일(미국 시간) 새벽에 해커의 공격이 미국 보안회사 펙쉴드(PeckShield)의 실시간 ‘경고봇’인 펙쉴드얼러트(PekShieldAlert)에 의해 감지됐다. 이번 공격에 대처하지 못한 오픈씨는 약 75만 달러(332ETH에 해당) 상당액을 해킹당했다.
크립토포테이토 측은 해커가 오픈씨 내부의 프론트엔드(front-end)에서 취약한 시스템을 발견해 공격하기 시작했고 그들의 최종 목표는 ‘지루한 원숭이들의 요트 클럽(BAYC, Bored Ape Yacht Club)’이라고 설명했다.
사실 오픈씨 플랫폼의 프론트엔드 취약성은 이미 전문가로부터 지속적으로 지적돼왔다. 이번 공격은 유명 NFT가 판매자가 설정하지 않은 가격, 예를 들면 ‘큰 폭으로 떨어진 가격’으로 판매될 수 있는 시스템 결함을 나타냈다.
오픈씨 플랫폼의 경우 등록된 상품을 삭제할 때 큰 비용을 청구하기 때문에 삭제가 쉽지 않다. 따라서 이용자는 특정 NFT를 삭제하지 않고 이를 다른 지갑으로 보내는 방식으로 거래 리스트에서 없애는데 이 때 문제가 발생한다.
운영체제(OS)에서 해당 항목은 거래 대상으로 나타나지는 않으나, OS의 API(Application Programming Interface)로 인해 계속 활성 상태로 OS 목록을 나타내고 이를 이행하는 OS의 API를 적용하고 있는 라리블(Rarible)의 존재 때문에 ‘취소한 목록’도 판매될 수 있다.
이 같은 문제점으로 BAYC의 ‘지루한 원숭이 #8924’는 현재 BAYC 하한가보다도 92%라는 큰 폭으로 떨어진 가격인 6.66 ETH(약 1만 4700달러)에 거래되는 사고가 발생하기도 했다.
한편 이 사건으로 피해를 입게 된 트위터 사용자 VirtualToast.eth는 BAYC 소유자 중 판매 목록을 지우지 않고 지갑으로 이동시켰다면 오픈씨에 부여했던 권한들을 빨리 취소할 것을 제안했다.