지난 주말 비탈릭 부테린 이더리움 공동 창시자의 트위터(X) 계정이 해킹을 당해 70만 달러(약 9억3000만원) 상당의 암호화폐와 대체불가토큰(NFT) 탈취에 악용됐다.
해킹된 비탈릭 부테린의 트위터 계정은 가짜 NFT를 홍보하는 데 도용됐다.
계정은 악성 링크를 공유하며 이용자들에게 신속하게 NFT를 민팅할 것을 독려했다.
해당 링크는 피싱 사이트로 연결됐고, 사이트에 등록한 월렛에서 암호화폐와 NFT를 빼갔다.
비탈릭 부테린의 아버지 드미트리 부테린은 해당 트윗을 인용 "계정이 해킹돼 복구 중"이라며 주의를 촉구했다.
해당 트윗은 현재 삭제된 상태다.
암호화폐 분석가 'ZachXBT' 및 온체인 데이터에 따르면 해당 공격으로 약 69만1000달러의 암호화폐와 NFT가 탈취됐다.
다수의 피해자가 수백개의 이더리움과 NFT를 도난당했다. 피해 자산에는 유명 NFT 컬렉션 '크립토펑크'가 포함됐는데, 가장 고가는 크립토펑크 #3983로, 153.62 ETH(약 3억3400만원)에 달했다.
해커는 탈취한 NFT를 대부분 처분, 월렛에 수익금을 보유하고 있다.
피싱 공격에는 유명한 월렛 탈취 소프트웨어 '핑크(Pink)'가 사용된 것으로 확인되고 있다.
암호화폐 월렛 익스플로러 '잽퍼(Zapper)'가 '핑크' 소유로 지목한 월렛과 해커 월렛 간 온체인 거래가 확인됐다.
월렛 탈취 소프트웨어 개발자들은 직접 피싱 공격을 실행하거나 타인에게 소프트웨어를 판매해 탈취액 일부를 보상으로 받는다.
최근 등장한 핑크는 오비터 파이낸스(Orbiter Finance), 라이파이(LiFi), 플레어(Flare), 에브모스(Evmos), 스티브 아오키의 트위터(X) 계정 등 올해 발생한 여러 대형 피싱 공격에 널리 활용되고 있다.
자오창펑 바이낸스 CEO는 10일 트위터(X)를 통해 비탈릭 부테린의 피싱 트윗 캡처 사진을 공유하면서 "계정이 해킹당한 것 같다"고 밝혔다.
그는 "대규모 팔로워를 보유한 인플루언서라도 게시물이 상식 밖의 내용일 때는 주의하라"면서 "소셜미디어 계정 보안이 금융 플랫폼처럼 설계된 것은 아니다"라고 경고했다.