가상화폐 탈취 허용하는 OpenSea의 치명적인 취약점 발견

 

 

Critical Flaw in OpenSea Could Have Let Hackers Steal Cryptocurrency From Wallets

 

세계 최대 규모의 대체 불가능 토큰(NFT) 시장인 OpenSea에서 공격자가 특수 제작한 토큰을 전송해 악용할 수 있는 치명적인 취약점이 발견되었습니다. 해당 취약점은 공격자가 피해자의 가상화폐 자금을 인출하도록 허용하고, 악용이 가능한 새로운 공격 벡터를 열어주었으며 현재는 패치된 상태입니다.

 

이는 사이버 보안 회사인 Check Point Research에서 발견해 제보했습니다. 해당 이슈는 2021년 9월 26일 제보된 지 1시간 이내에 해결되었습니다.

 

Check Point 연구원은 이에 대해 "패치되지 않은 상태로 둘 경우 해커가 사용자 계정을 가로채고 악성 NFT를 만들어 가상 화폐 지갑 전체를 훔칠 수 있다"고 밝혔습니다.

 

NFT는 블록체인에서 판매 및 거래할 수 있는 사진, 비디오, 오디오 등과 같은 고유한 디지털 자산이며 소유권의 인증, 공개 증거로 설정하기 위해 이 기술을 정품 인증서로 사용합니다.

 

공격 방식은 피해자에게 악성 NFT를 보내는 것으로 시작됩니다. 이 NFT를 클릭할 경우 타사 지갑 서비스 제공업체에 그들의 지갑에 연결하기 위한 지갑 서명을 제공함으로써 공격자가 타깃을 대신하여 작업을 수행하고 사기 거래를 실행하는 결과를 낳을 수 있습니다.

 

연구원들은 "사용자는 OpenSea 및 기타 NFT 플랫폼에서 서명한 내용과 예상되는 작업과 관계가 있는지 잘 파악하고있어야 한다”고 밝혔습니다.

 

OpenSea는 이 취약점이 실제 공격에서 악용된 사례를 확인하지 못했지만 "사용자가 악성 서명 요청을 더욱 잘 구별해낼 수 있도록 돕고, 사용자가 사기 및 피싱 공격을 방지할 수 있도록 타사 지갑 서비스와 협력하고 있다”고 밝혔습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/10/critical-flaw-in-opensea-could-have-let.html

https://research.checkpoint.com/2021/check-point-research-prevents-theft-of-crypto-wallets-on-opensea-the-worlds-largest-nft-marketplace/