오픈씨(Opensea) 지갑에 멋대로 넣어주는 스캠 NFT
더 빡치는 것은 저런 스캠 NFT들은 Null Address와 같은 곳에 보내서 소각을 하려고 해도 전송도 잘 되지 않아요. 클레이튼 메인넷이든 폴리곤 메인넷이든.. 그래서 더 빡칩니다 ㅠ_ㅠ
NFT 거래를 하다보면 오픈씨 지갑에 들어와있는 스캠 NFT는 절대로 건드리면 안 된다는 말, 한번쯤은 모두 들어보셨을 겁니다. 스캠 NFT에 손대면 지갑이 해킹당할 수 있으니 절대 건들지말고 Hidden도 풀지 말고 팔지도 말고 보내지도 말고 그냥 건들지마라…
그 원인을 알고 싶다면 아래의 기사를 읽어봐야 합니다.
https://www.theverge.com/2021/10/13/22723092/opensea-nft-vulnerability-gift-security-researchers-wallet-hack
제목부터가 “오픈씨가 해커들이 악의적인 NFT를 사용해서 암호를 훔칠 수 있는 취약점을 해결했다” 입니다.
작년 10월 기사인데, 오픈씨에서 뭔가 NFT로 인해 해킹당할 소지가 있었다는 것을 알 수 있죠.
내용을 조금 더 읽어보면,
오픈씨는 악의적으로 조작된 NFT를 보낸 후 해커들이 누군가의 암호를 훔칠 수 있도록 허용할 수 있는 플랫폼의 취약점을 수정했습니다. 블로그 포스트에 따르면, 이 문제는 보안회사인 Check Point Research에 의해 발견되었는데, 이 회사는 NFT를 받은 후 해킹을 당했다고 주장하는 사람들의 트위터를 알게 된 후 그 사람들과 대화를 나눴고, 공격이 이런 식으로 일어날 수 있다는 취약점을 발견한 후 오픈씨에 제보했습니다. 이후 NFT 거래 플랫폼(오픈씨)가 이 문제를 1시간 이내에 해결했으며, 제대로 해결되었는지 확인하기 위해 연구원들과 협력했다고 말했습니다.
즉 오픈씨에는 악의적으로 조작된 NFT를 불특정다수의 계정에 보낸 후 그 NFT를 활용해서 암호를 빼낼 수 있는 취약점이 있었고, 보안회사에서 그 문제에 대해 제보한 후 1시간 이내에 해당 취약점을 고쳤다는 것을 알 수 있습니다.
악의적인 NFT를 이용한 공격은 목표 대상으로 하여금 트랜잭션의 상세 내용을 포함한 몇 가지 프롬프트들을 클릭하도록 하는 것이 목표였습니다. NFT 선물을 보내는 것은 당신의 어떠한 상호 작용도 필요로 하지 않으며 악의적인 NFT는 오픈씨 계정에 표시되지 않고 방치되어 있을때는 아무런 해도 입히지 않습니다.
그럼 언제 이 NFT가 위험하게 작동하는 것일까요? 그 해답 또한 기사에 들어 있습니다.
만약 NFT의 이미지를 오른쪽 클릭하여 “새 탭에서 열기”를 누르면 잠재적으로 위험한 상황이 발생합니다. 메타마스크와 같은 암호 스위칭 브라우저 확장이 설치되어 있는 경우, storage.opensea.io를 지갑에 연결하도록 요구하는 팝업 창이 열립니다. 목표 대상이 “예”를 클릭하면 공격자는 지갑 정보를 가로채고 피해자의 지갑에서 자신의 지갑으로 이전을 승인하라는 다른 팝업을 트리거할 수 있습니다. 만약 피해자가 주의를 기울이지 않거나 무슨 일이 일어나고 있는지 깨닫지 못 하고 이체를 컨펌한다면, 지갑의 모든 자산을 잃게 됩니다.
즉 단순히 NFT를 가지고 있거나 Hidden에서 Unhidden으로 변경하는 트랜잭션을 일으키거나, 아니면 다른 계정으로 스캠 NFT를 보내는 일반적인 오픈씨의 기능을 사용하는 것은 아무런 문제가 되지 않습니다. 문제는 바로 스캠 NFT의 이미지를 우클릭함으로써 연결되는 피싱 사이트에 내 지갑의 권한을 넘겨줌으로써 지갑의 모든 자산이 털리게 되는 것이죠. 오픈씨는 이 취약점을 해결한 것입니다.
오픈씨의 입장은 실제로 이러한 종류의 가한 사례는 발견하지 못 했다고 밝혔지만 공격을 받았다고 밝힌 사람들은 존재하며 이 기사에서 NFT 선물을 받고 해킹을 당했다고 하는 사람은 몇 명밖에 발견하지 못 했다고 합니다.
오픈씨(Opensea) 지갑에 멋대로 넣어주는 스캠 NFT
이 사건을 해결하면서 오픈씨에 업데이트된 정책이 바로 선물받은 NFT는 디폴트로 Hidden 탭에 보관하는 것입니다. 내가 원하지 않는, 누가 마음대로 넣어준 NFT는 기본적으로 Hidden 탭에 보내서 보이지 않게 처리하는 것이죠.
물론 저 취약점이 해결되었다고는 하지만, 오픈씨를 사용함에 있어 또 다른 취약점이 우리의 자산을 노릴 수 있습니다. (해킹이 아니더라도 짝퉁 NFT를 팔기도 하고 말이죠..)
디센트나 렛저와 같은 하드월렛을 쓰더라도 피싱 사이트에 낚여서 인증을 해버리면 해킹을 당하는 것은 막을 수 없습니다. 왜냐하면 내가 직접 트랜잭션을 승인해버렸기 때문이죠. 물론 핫 월렛은 탈취당하면 계속해서 자산을 빼앗기게 되지만 콜드 월렛은 어쨌거나 내가 직접 승인한 것만 해킹 당하고 남은 것은 안전하긴 하지만….
어쨌든 코인이나 NFT 거래를 위해 지갑을 사용할 때에는 반드시 지켜야 하는 것이 있고, 그건 바로
자신이 직접 일으킨 (의도한) 트랜잭션이 아니라면 어떠한 거래 요구 팝업창도 컨펌(확인)해서는 안 됩니다.
자산을 지킴에 있어 니모닉 코드를 오프라인에 보관하는 것도 중요하지만 어떤 트랜잭션이 지금 일어나 있고, 정확히 이 트랜잭션이 어떤 이유로 발생했는지 꼭 확인하고 내가 모르는 것은 절대로 건드리지 않는 것이 좋습니다.
꼭 상기 사항을 명심하시고, 안전하게 자산을 지키시기 바랍니다.
저같은 경우에는 스캠 NFT들을 하나씩 쫓아내고는 있지만 (오픈씨 자체 기능이니 안전하다고 보고) 트랜잭션 오류로 쫓아내는 것도 사실 쉽지 않습니다. 멀쩡한 NFT들은 잘 전송이 되는데 스캠 NFT들은 참 그게 잘 안 되더라구요.
아래 링크로 가입하시면 바이낸스 수수료 20% 할인 받으실 수 있습니다.
