지난 몇 년 간 많은 해커들이 암호화폐 산업을 반복적으로 공격해왔으나, 최근 해커들의 동향은 NFT 해킹으로 서서히 옮겨가고 있다.
이에 대한 대처로 최근 도난 방지 암호화 프로젝트인 하피 (Harpie)가 지난 몇 년 동안 오픈씨 NFT 마켓플레이스 사용자를 위협하던 새로운 사기 수법을 몇 주간의 조사 끝에 공개했다.
12월 23일 발표에서 하피는 오픈씨 마켓플레이스에서 가스세를 부여하지 않는 거래에 한해 행해지는 해킹 수법에 대해 경고했다. 회사 의견에 따르면 사기 속임수로 인해 많은 사용자가 수백만 달러의 디지털 자산을 잃었다.
Hackers have been able to steal NFTs like magic with a little-known OpenSea feature. It's the newest hack, and multiple millions in Apes have been lost to it already.
(🧵1/4) pic.twitter.com/fTK20WQrgh
— Harpie (@harpieio) December 22, 2022
NFT 사기 수법이 드러나다
심층 조사를 수행한 후 하피는 사기꾼들이 가스비를 받지 않는 플랫폼의 취약성을 악용하여 수백만 달러의 암호화폐 및 NFT를 훔치고 있었음을 밝혔다.
하피사에 따르면, 많은 사용자가 읽을 수 없는 메시지로 서명을 승인해야 하는 오픈씨 플랫폼 내에서 가스비가 없는 거래를 하고 싶어하는 유혹을 받는다고 한다.
또한, 오픈씨의 무가스 기능을 통해 사용자는 읽을 수 없는 서명으로 개인 행동을 생성할 수 있다. 그 때문에 사기꾼들은 이 도구를 사용하여 사용자에게 읽을 수 없는 메시지 중 하나에 서명하도록 요청했던 것이다.
로그인 메시지가 피해자의 NFT를 해커에게 0 ETH로 비공개 판매하기 위한 서명 요청이었다는 점은 주목할만한 가치가 있다. 이때 서명을 한다면, 해커는 피해자로부터 자산을 도난할 수 있다.
더많은 NFT 범죄 수법 공개
하피사의 발표 이후 다른 블록체인 보안 회사인 세르틱 (Certik)에서도 “아이스 피싱”이라고 불리는 유사한 사기 수법에 대해 공개했다. 세르틱 보고에 따르면 사기꾼은 메타버스 사용자가 특정 권한에 로그인하도록 유인한 후 공격자의 디지털 자산을 훔칠 수 있도록 한다.
지난 주, 사이버 형사와 분석가들은 해커들이 가스비를 요구하지 않는 시포트 (Seaport) 서명을 사용하여 백만 달러 상당의 지루한 원숭이 NFT 14개를 훔친 방법을 자세히 설명했다. 분석가에 따르면 해커는 소유자에게 계약서 서명을 요청하기 전 피해자를 가짜 NFT 플랫폼으로 유인했다.
관련 기사
B2C 코리안 텔레그램과 트위터에 가입하여 미국, 영국 본사로부터 전달되는 최신 코인 정보를 받아가세요.
파이트아웃(FightOut) - 100배 성장이 기대되는 무브 투 언(M2E) 코인
- 엘뱅크(LBank) 및 트랜삭(Transak)의 지원을 받는 프로젝트
- 운동을 통해 보상을 받는 시스템
- 메타버스 내에서 운동 완수함으로써 레벨 업
- 사전판매 현재 진행중 - 현재 4백만 이상 달러 모금됨
- 현실 세계 커뮤니티, 오프라인 짐 체인점 개설 예정