글로벌 대표 대체불가토큰(NFT) 거래 플랫폼 오픈시(OpenSea)에서 250여 개의 NFT가 해킹 범죄로 도난당하는 사건이 발생했다. '지루한 원숭이들의 요트 클럽(BAYC)' '아즈키' 등 대표적 NFT도 도난 대상에 포함됐다.
20일(현지 시간) 미 경제 방송 CNBC, 정보기술(IT) 매체 더버지 등에 따르면 오픈시 이용자 32명이 전날인 19일 오후 5~8시 해커들의 공격으로 NFT 254개를 도난당하는 피해를 봤다. 현재까지 집계된 피해 규모는 170만 달러(약 20억 원)를 넘어선 것으로 알려졌다. 데빈 핀저(사진) 오픈시 최고경영자(CEO)는 트위터 계정을 통해 “32명의 피해자들이 공격자들이 일으킨 연쇄적인 계약 시도 건수에 사인을 하면서 NFT 작품이 도난당하는 일이 발생했다”고 밝혔다. 또 2억 달러(약 2400억 원)의 피해가 발생했다는 소문에 대해서는 “사실과 다르다"며 "일부 NFT는 원래 소유주에게 돌아간 상태”라고 설명했다.
NFT는 블록체인 기술로 디지털 자산에 고유한 인식 값을 부여해 복제·교환이 쉽지 않다는 특성으로 자산 가치를 높일 수 있는 투자 대상으로 각광받아왔다. 하지만 NFT가 거래 과정에서 도난당하면서 NFT 보안에 대한 우려가 커지고 있다. 오픈시에 따르면 해커들은 오픈시를 포함한 대부분의 NFT 거래 플랫폼에서 쓰는 스마트 계약 표준인 와이번포르토콜의 유연성을 악용한 것으로 알려졌다. 핀저 CEO는 "해킹 대상이 된 피해자들은 본질적으로 미완성된 계약에 부분적으로만 사인했지만 공격자들이 계약의 나머지 사인을 채워 결제 없이도 계약을 완료했다"며 “해커들의 공격이 오픈시 웹사이트와 연결돼 발생한 것은 아니다”라고 선을 그었다. 일단 많은 부분이 공백인 계약서에 이용자의 서명을 받은 후 공격자가 마음대로 계약을 완성해 대가 지불 없이 NFT 소유권을 이전한 것으로 보인다. 네소라는 아이디를 쓰는 한 피해자는 “모든 거래를 체크했다”며 "계약서상에는 해커들이 유효한 사인을 갖고 있어 사인을 했다"고 억울함을 토로했다.
현재 오픈시 측은 해킹 범죄 사실이 알려지면서 스마트 계약 표준을 새롭게 업데이트하고 있는 것으로 알려졌다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
madein@sedaily.com
