글로벌 대표 NFT 플랫폼 오픈씨(OpenSea)에서 32명의 이용자가 보유한 254개의 대체불가토큰(NFT)가 해킹 범죄로 인해 도난당한 것으로 알려지면서 충격을 줬다. '지루한 원숭이들의 요트 클럽(BAYC)' '아즈키' '두들스' 등 대표 NFT도 도난 대상에 포함됐으며 피해 규모는 170만 달러(약 20억원)를 넘을 것으로 보인다.
20일(현지 시간) 미 경제방송 CNBC, IT매체 더 버지에 따르면 데빈 핀저 오픈씨 최고경영자(CEO)는 트위터 계정을 통해 "사건은 지난 19일 오후 5~8시 오픈씨 이용자 32명을 대상으로 발생지만 해커들의 공격이 오픈씨 웹사이트와 연결된 것은 아니다"라며 "32명의 이용자들이 불법 계약서에 서명을 했고 그 결과 NFT를 도둑맞았다"고 밝혔다. 이어 그는 "몇몇 도둑맞은 NFT는 이용자에게 돌아갔다"며 "도난 당한 NFT가 2억 달러(약 2400억원)에 달한다는 건 사실이 아니다"라고 설명했다.
블록체인 기반인 NFT 계약 과정에서 해킹이 발생한 것 자체가 충격을 주는 가운데 해커들은 오픈씨를 포함한 대부분의 NFT 거래 플랫폼이 쓰는 스마트 계약 표준인 와이번 포르토콜(the Wyvern Protocol)의 유연성을 악용한 것으로 알려졌다. 핀저 오픈씨 CEO는 "해킹 대상이 된 이용자는 부분 계약에 사인을 했고 공격자들은 결제 수단 없이도 소유권을 자신들에게 옮기며 계약을 완료했다"며 "본질적으로 피해자들은 백지 수표에 사인을 한 셈이지만 공격자들이 수표의 나머지를 채워 계약을 완료했다"고 설명했다. 일단 많은 부분이 공백으로 남겨져 있는 컨트랙트에 이용자의 서명을 받은 후, 공격자가 마음대로 계약을 완성해 어떠한 대가 지불 없이 NFT 소유권을 이전한 것으로 보인다는 설명이다.
네소라는 아이디를 쓰는 피해자는 "모든 거래를 체크했고 계약서 상에는 해커들이 유효한 사인을 갖고 있었다"고 억울함을 토로했다.
현재 오픈씨는 스마트 계약 표준을 새롭게 업데이트하고 있는 것으로 알려졌다. 다만 이용자들이 해커의 수법 대상이 된 스마트계약 중에 최신의 스마트계약 형태도 포함돼있는지에 대해서는 알려지지 않았다.
한편 이날 오전 3시께 해커는 훔친 NFT 중 일부를 팔아 지갑에 170만 달러 상당의 이더(ETH)와 BAYC 토큰 3개, 두들 1개, 아키즈 1개, 쿨캣2개 등을 보유하고 있는 것으로 확인됐다.