디스코드 기반 대체불가능토큰(NFT) 커뮤니티 활성화에 따라 이를 타깃한 NFT 공격이 크게 늘었다. 특히 'NFT 무상 증정 이벤트에 당첨됐다'는 식의 디스코드 메시지를 통한 피싱 공격이 대부분을 차지한 것으로 확인됐다. 

또 NFT에 대한 공격 빈도는 그 NFT의 인기에 비례하는 모습을 보였다. 그 결과 지난 1년 동안 탈취당한 NFT 중 절반 가까이가 보어드 에이프 요트 클럽(BAYC)인 것으로 조사됐다. 

24일(현지시간) 블록체인 분석 업체 엘립틱이 발간한 보고서에 따르면, 2021년 7월부터 2022년 7월까지 1년간 사이버공격으로 도난당한 NFT 가치는 1억달러(약 1340억원)에 달했으며, 공격자들은 건당 평균 30만달러의 수익을 올렸다. 피해액이 가장 컸던 시점은 올해 5월로, 2400만달러 상당이었다. 이는 1년 동안 발생한 사이버공격 피해액의 24%를 차지했다. 

엘립틱에 따르면, 전체 피해 규모 중 약 6950만달러 상당의 피해만 그 원인이 파악됐다. 구체적으로 80% 이상이 피싱 공격으로 인한 것이었다. 특히 이메일, 스마트폰 문자 등을 활용한 일반 피싱(51.5%)이 대부분을 차지했으며, 그 다음으로 디스코드와 같은 사회연결망서비스(SNS)가 손상된 것을 겨냥(28.6%)한 피싱 공격이었다. 

SNS 손상으로 인한 피싱 공격 방식으로는 ▲만료된 초대 링크 무단 점거 ▲새로운 가입자 확인 시 잘못된 도구 사용 ▲커뮤니티 개발자가 관리자 자격을 다른 이에게 넘겨주기 등으로 이뤄졌다. 이런 공격으로 인한 피해 규모는 올해 1분기 320만달러에서 올해 2분기 1540만달러로 확대됐다. 3개월 사이에 약 386%가 급증한 것이다.

특히 올해 4월 첫째 주 전체 NFT 도난 사건에서 SNS 손상으로 인한 피싱 공격의 비중이 75%를 크게 상회했다. 

엘립틱은 올해 들어 SNS 손상으로 인한 피싱 공격이 증가한 이유로 서비스형 악성 프로그램(MaaS; Malware as a Service)의 확산을 꼽았다. 서비스형 악성 프로그램은 SNS에서 요구하는 멀티 팩터 인증을 무력화했다. 

엘립틱은 더 나아가 디스코드의 손상이 고의적으로 발생했을 가능성도 제시했다. 2022년 6월10일 하루 만에 디스코드 서버 10개가 손상됐다. 엘립틱은 이를 한 공격자가 악성 프로그램을 여러 서버에 순차적으로 퍼뜨린 것으로 분석했다.

특히 공격자가 디스코드에 손상이 생긴 틈을 타서 NFT 프로젝트의 커뮤니티 관리자 계정을 탈취한 후 피싱 링크를 배포하면서, 공식 민팅 계정인 것으로 착각한 이용자의 피해가 크게 늘었다.


원인이 파악된 NFT 피해 중 원인 비중. 출처=엘립틱 보고서 캡처

대표적으로 올해 4월 BAYC와 도비스(Dobies)가 이 공격에 노출됐다. 그 결과 공격자는 8만5000달러 상당의 BAYC NFT 2개를 훔쳐갔다. 이에 BAYC는 공식 트위터를 통해 "디스코드의 웹훅(webhook: 커스텀 콜백을 활용해 웹사이트 행동을 보강하거나 변경하는 방법)이 손상됐으므로 디스코드에서 어떤 민팅 기능도 사용하지 말아달라"고 경고했다.

도비스는 같은 기간 40만달러 상당의 피해를 입었다.

도비스의 디스코드 서버에 대한 초대 링크가 만료된 이후에도 그 링크가 계속 활성화된 상태였다. 이에 공격자는 그 링크를 가짜 사이트에 연결했다. 피해자들은 도비스의 공식 SNS에 게시된 링크인 만큼, 도비스의 서버인 줄 알고 가짜 사이트에 접속했다. 공격자는 가짜 사이트에 화이트리스트 대상 추첨 증자 이벤트를 게시했다. 이에 피해자들은 자신의 지갑을 연결했고, 지갑 속 NFT를 공격자에게 보내는 거래인 줄 모른 채 그 거래에 서명했다. 그렇게 공격자는 300개에 달하는 NFT를 가로챘다.

엘립틱은 이외에도 가치 없는 NFT를 잠재적 피해자의 지갑으로 보내는 '소매넣기'도 주요 수법으로 소개했다. NFT 자체가 지갑에 들어온 것만으로 피해가 발생하는 것은 아니지만, 그 지갑 소유주가 그 NFT를 팔기 위해 가짜 사이트에 지갑을 연결하고 거래에 서명하면 오히려 다른 NFT를 빼앗겼다. 

2021년 7월부터 2022년 7월까지 1년 동안 도난 당한 NFT 규모(1억달러) 가운데 BAYC 콜렉션의 비중이 가장 높았다. 그 비중은 43.6%으로, 기타(22.3%)를 크게 상회했다. BAYC에 이어 뮤턴트 에이프 요트 클럽이 14.5%, 아즈키가 3.9% 순으로 뒤를 이었다. 두들스와 크립토펑크도 각각 2.2%, 2.1%의 비중을 차지했다. 

한편, 엘립틱의 보고서에 나온 기간 동안 갈취 당한 NFT 규모는 같은 기간 NFT 거래대금의 1% 미만인 것으로 확인됐다. 더블록은 '더블록 크립토 데이터'를 인용해 2021년 7월부터 2022년 7월까지 발생한 NFT 거래가 약 153억달러에 달하며, 그 중 0.65%가 사기에 연루됐다고 보도했다. 

출처 : 코인데스크 코리아 (http://www.coindeskkorea.com/news/articleView.html?idxno=81058)