26일(현지시간) 코인텔레그래프에 따르면, 이더리움 레이어 2 블록체인 블래스트에 구축된 대체 불가능 토큰(NFT) 게임 뭉쳐블(Munchables)이 6,200만 달러(=836억 3,800만 원) 규모의 익스플로잇을 당한 것으로 드러났다.
뭉쳐블은 이날 오후 X게시글을 통해 익스플로잇 해킹을 당했다고 발표했으며, 해커의 움직임을 추적 및 “거래를 중지하려 시도하고 있다”고 밝혔다.
이와 관련해 블록체인 분석가 잭XBT는 해당 공격자로 추정되는 인물의 지갑 주소와 함께 현재 6,245만 달러의 ETH 잔고를 보유하고 있는 내역을 공개했다.
또 디뱅크의 데이터에 따르면, 해커의 지갑 주소는 이날 오전 뭉쳐블 프로토콜을 통해 총 1만7,413 ETH를 탈취한 것으로 나타났다.
특히 해당 지갑 주소는 오비터 브릿지를 통해 10,700달러 상당의 이더리움을 전송하여 블래스트 기반 이더리움을 네이티브 이더리움으로 재전송 및 오후에는 다시 새로운 지갑 주소로 1ETH를 추가 전송하기도 했다.
또한 잭XBT에 따르면, 이번 익스플로잇은 뭉쳐블 팀이 ‘늑대인간0943’이라는 가명으로 알려진 북한 개발자를 고용한 데서 비롯됐다는 주장이다.
이와 관련해 솔리디티의 개발자 0xQuit은 27일 X 게시글에서 “뭉쳐블 팀에 대한 공격은 처음부터 계획된 것으로, 개발자 중 한 명이 특정 시간 동안 토큰을 잠그는 잠금 계약의 출시 직전에 이를 새롭게 구현하여 업그레이드했다”고 지적했다.
그러면서 “예치한 금액 이상을 인출할 수 없도록 적절한 확인 절차가 있었지만, 업그레이드 전에 공격자는 1백만 ETH를 예치할 수 있었다”고 덧붙였다.
한편, 뭉쳐블은 NFT 캐릭터를 중심으로 한 블라스트 기반 게임파이 어플이다.
뭉쳐블 프로토콜을 통해 플레이어는 블라스트 ETH와 블라스트 USD를 스테이킹하여 블래스트 포인트를 획득하고 게임 내 추가 특전을 잠금 해제할 수 있는 방식이다.