세계 최대 NFT(대체불가토큰) 오픈마켓인 오픈씨(OpenSea)에서 취약점 공격을 통해 유명 NFT가 시장가의 10분의 1이하로 팔리는 일이 발생했다.
디크립트에 따르면 2022년 1월 24일(이하 현지시간) 유저 ID ‘jpegdegenlove’ 등 3명이 오픈씨에서 취약점 공격을 통해 다수의 고액 NFT를 헐값에 사들인 것으로 드러났다. 공격 과정에서 최소 8개의 NFT가 최소 거래 희망가보다 턱없이 낮은 가격에 팔렸다.
헐값에 팔린 NFT 중에는 가장 인기 있는 NFT 프로젝트 중 하나인 BAYC(지루한원숭이요트클럽) NFT가 포함됐다. BAYC #8924는 하한가보다 92% 저렴한 가격인 6.66 ETH(약 1761만 원)에 판매됐다. 공격자는 이를 즉각 89.99ETH(약 2억 3800만 원) 상당에 판매해 2억 원 상당의 시세차익을 챙긴 것으로 드러났다.
△사진: BAYC 8924 / 오픈씨
이번 사건에 대해 유저들은 즉각 분석에 나섰고, 삭제되지 않은 이전 거래 희망가를 악용한 공격이라는 결론을 내렸다. 오픈씨 판매자들이 과거 등록했던 거래 희망가를 취소하지 않고 '이전(transfer)' 기능을 활용해 이전 거래 희망가를 삭제했는데, 이것이 문제가 됐다고 본 것이다.
이러한 방법은 이더리움 수수료를 지불하지 않고 이전 거래 희망가를 보이지 않게 만들 수 있어 다수 NFT 판매자들이 사용해왔다. 하지만 작성된 이전 거래 희망가는 삭제된 것이 아니라 여전히 백엔드 상에서는 존재해 공격자들이 이를 확인하고 악용했다는 설명이다.
이에 대해 트위터에서는 향후 추가적인 사고 방지를 위해 NFT 보유자가 이더리움 수수료를 지불하고 이전 거래 희망가를 삭제해야 한다는 경고가 나오고 있다. 한 트위터 사용자는 "(사고 방지를 위해) 라리블 주문 링크를 활용해 각각의 지난 주문들을 취소해야 한다"라고 말했다.