[ Security ] NFT 사기∙해킹 수법

최근 최대 규모 NFT 프로젝트인 BAYC(Bored Ape Yacht Club)가 해킹당하는 사건이 일어났습니다. 해킹으로 300만달러(약 38억원) 상당의 NFT가 도난을 당했습니다. NFT시장에 사람들의 관심이 집중되면서 해커가 홀더의 지갑을 털어가는 일이 빈번히 발생하고 있습니다.

이번 기사에서는 최근에 성행하고 있는 사기 및 해킹 수법에 관해 설명하려 합니다.

---

소셜미디어 이용한 NFT 해킹

소셜미디어를 이용한 NFT 해킹은 가장 많이 사용되는 해킹 수법입니다. 지난 기사에서 소개했던 디스코드 DM을 통한 접근과 유사한 방법입니다. 공식 SNS 계정을 해킹으로 탈취한 뒤 새로운 NFT를 민팅할 수 있는 링크라고 팔로워들에게 DM을 보내 악성코드를 배포합니다. 접근 방식은 달라도 결과적으로 악성코드가 담긴 링크에 접속하게 하는게 목적이라는 점에선 동일합니다. 이를 ‘피싱 링크’라 부릅니다. BAYC, Doodles, 메타콩즈 등, 우리가 이름만 들어도 알 수 있는 굵직한 NFT PFP 프로젝트 모두 이 유형으로 홀더들이 해킹을 당했습니다.

소수점 사기

소수점 사기는 크립토 생태계의 특징을 이용합니다. 비트코인, 이더리움 등, 우리가 흔하게 알고 있는 가상화폐는 1 비트코인, 1 이더리움이 몇 백만원 ~ 몇 천만원을 호가합니다. 때문에 대부분의 거래는 소수점 단위로 거래됩니다. (예: 1.15 ETH) 소수점은 숫자에 비해 잘 보이지 않고 소수점이 어디에 붙냐에 따라 환산 가격이 천차만별이 됩니다. 1.15 ETH은 약 3,000 달러인 반면에 11.5 ETH은 약 27,000 달러인 것을 보면 소수점 하나가 큰 차이가 있다는 것을 알 수 있죠. 소수점 사기는 이 부분에서 발생합니다. 대표적인 마켓플레이스인 오픈시(OpenSea)에는 구매자가 판매자에게 가격을 제안할 수 있는 기능이 있는데, 구매 희망자가 제시한 가격의 소수점을 유심히 보지 않고 수락하는 경우가 더러 발생합니다. 한 번 체결된 NFT 계약은 취소 불가하기 때문에 더 큰 문제가 됩니다.

소매넣기 수법

소매치기란 말은 들어봤어도 ‘소매넣기’란 말은 처음 듣는 사람도 있을 겁니다. 소매넣기는 타인의 지갑에 악성코드를 심은 NFT를 넣는 수법입니다. 오픈시의 프로필에 들어가면 히든(Hidden)이란 카테고리가 있습니다. 거기에 간혹 본인이 구매한 적 없는 NFT가 들어와 있는 것을 볼 수 있는데, 공짜라며 신나서 지갑에 들어온 NFT를 확인했다가 지갑 전체를 해킹당합니다. 이외에도 NFT 시장에서 ‘무료 에어드롭’, ‘BAYC 커뮤니티 접근 가능 혈청’ 등의 이름으로 판매자들에게 접근해 지갑을 털어가는 일이 빈번히 일어나고 있으니 공짜를 보면 무.조.건 경계해야 합니다.

복제 수법

가끔 오픈시와 같은 마켓플레이스에서 본인이 원하는 NFT를 검색했을 때, 동일한 이름과 동일한 이미지의 NFT 프로젝트가 2–3개씩 존재하는 것을 볼 수 있습니다. 동일한 NFT라 해도 혜택은 전혀 동일하지 않으니 진짜 프로젝트가 무엇인지 신중하게 확인 후 구매해야 합니다. 이런 가짜에 낚이지 않으려면 거래 내역이나 컬렉션 규모를 확인하고 구매하세요.

이번 기사에서는 최근 성행하고 있는 사기∙해킹 수법에 대해서 알아보았습니다. 블록체인을 이용한 NFT는 데이터 위조·변조를 방지하는 기술이지만 해킹이나 사기를 예방해주지 않습니다. 해커는 홀더의 개인정보 얻어 지갑을 해킹하거나, 착각을 불러일으켜 코인을 탈취합니다. 해커들은 인간의 취약성을 이용하기 때문에 우리는 사기∙해킹 수법을 공부하며 스스로를 지키는 노력이 필요합니다.

---

본 기사는 NFT 제작에 입문하는 창작자들을 대상으로, NFT에 대한 유용한 정보를 전달하는 목적으로 제작되었습니다. 건전하고 올바른 NFT 시장을 함께 만들어가요!

더 궁금한 점이 있으세요? Omnuum 디스코드로 놀러 오세요.

Build your own universe!
썸네일 디자인 김소연