세계 최대 NFT 거래소 오픈씨(Opensea) 해킹 이슈

세계 최대 NFT 마켓 오픈씨(Opensea)에서 해킹이 발생하였음.

 

 

 

오픈씨는 직접적으로 인터페이스만 제공한다. 

유저가 NFT 를 판매한다는 보여지는 것만 '보여줄 뿐' 실제로 NFT를 갖고 있지 않다. 

 

오픈씨는 거래도 직접적으로 이루어지지 않을 뿐더러 누군가 NFT를 사려할 때 오픈씨는 이더리움 블록체인 코드*를 호출하여 계좌 간 NFT 이체를 실행한다.

 

(*코드 - 스마트 컨트랙: 오픈 소스, 코드가 컨펌되고 난 후의 절차가 서명 이후 어떤 일들이 일어나는지 자세히 적혀있음)

 

 

 

 

해당 코드가 오픈씨에 의하여 호출되었을 때 거래를 직접 유저가 승인해야 한다. 

 

즉, 오픈씨는 직접적으로 하는 것이 없다.

 

 

 

 

해킹 이슈:

 

1) 유저가 NFT를 소유하고 있고

2) 유저는 오픈씨 웹사이트처럼 생긴 것은 다 신뢰하고

3) 유저는 그들이 서명하는 스마트 컨트랙을 읽지 않는다는 점을 해커가 이용했음

 

 

 

오픈씨가 보낸 정식 이메일처럼 fake 웹사이트에서 NFT 거래를 하라고 fake 이메일을 보냈음

 

fake 웹사이트는 코드를 호출했고 그 코드는 이체를 하는 것처럼 보였으며 유저는 해당 트랜잭션을 서명했음

 

정상적인 거래는 이뤄지지 않았고 해커는 그들의 서명을 저장하여, 저장한 서명을 토대로 유저들의 코드를 따로 호출하여 피해자 -> 해커의 지갑으로 NFT를 이체하였음.

 

NFT를 판매하여 판 금액을 많은 해커들이 돈을 숨기기 위해 사용하는 Tornado Cash로 보내버림.

이 곳은 트랜잭션을 몽땅 섞어 버린다. 

 

총 1,115 이더를 해당 사이트로 보냈음

 

 

 

NFT 플랫폼은 생긴지 얼마 안된 산업이라 이러한 이슈에 대해 핸들링하기에는 기술적으로 많이 부족하다.

신생 플랫폼 사용에는 항상 주의를 기울여야한다는 교훈.. 

 

 

 

 

 

노마드코더 채널의 영상을 참고하여 정리하였음을 밝힙니다.

출처: https://www.youtube.com/watch?v=hCYorQXrFck