소셜 엔지니어링을 통한 해커의 NFT탈취

 웹 3 보안 분석가인 Serpent는 해커가 어떻게 한달 동안 소셜 엔지니어링을 통해서 14 BAYC NFT(852 ETH 또는 107만 달러어치)를 탈취했는지 상세히 기술했습니다. https://twitter.com/arts_dao/status/1550873388360650753

트위터에서 즐기는 Arts DAO

 

1. 해커는 우선 피해자에게 접촉 후 BAYC #2060에 대한 IP 권한 라이선스를 요청했습니다. 이 과정에서 해커는 자신이 “Forte Pictures”에서 근무하고 있는 캐스팅 감독이라고 속였습니다. Forte Pictures는 LA에 기반을 둔 에미상을 수상한 회사로 사무실은 Sony Pictures Studio에 있습니다.

 

2.해커가 당시 사용한 가명 “Jason Brubeck”은 존재하지 않는 이름입니다. 그러나 Forte Pictures와 Marcus Mizelle 대표는 모두 현실에 존재하는 회사이자 인물입니다. 다만, Forte Pictures의 홈페이지 도메인은 forte.рictures가 아니라 Mizelle의 웹사이트인 marcusmizelle.сom 내 일부로 운영되고 있습니다. 

 

3. 해커는 가짜 forte.рictures 도메인을 등록한 뒤 에미상 수상 경력을 앞세웠으며 자신들이 “Unemployd”와 합작으로 “The Return of Time”이라는 NFT 관련 영화를 제작 중인 것처럼 홈페이지를 꾸몄습니다. 여기서 등장하는 Unemployd 또한 가짜 회사로 웹 사이트상에서는 NFT를 위한 AI 기반의 소셜 IP 플랫폼으로 소개되고 있었습니다.

 

4. 사기였던 “Unemployd” 프로젝트의 일환으로 해커들은 몇 시간 동안 피해자와 통화를 하기로 하고, 몇 주 동안 꾸준히 피해자와 이야기를 나누었으며, 가짜 피치 및 파트너십을 선보이기도 하고, 가짜 법률 계약, 트위터 스페이스를 주최하면서 피해자를 속이기 위해 노력했습니다. 

 

5. 또한, 해커들은 가짜 BAYC/MAYC 트위터 계정을 만든 다음에 사람들과 매일 소통하면서 Unemployd와 함께 자신들이 NFT에 대한 라이선스 거래를 완료한 것처럼 글을 올리고 소셜 활동을 이어 나갔습니다. 

 

6. 계약서 및 세부 조항들을 검토한 후 이들은 피해자들에게 Unemployd를 통해서 “입찰 제안서를 전송”했다는 내용의 이메일을 보냈습니다. 이후 이들은 피해자들에게 Unemployd 홈페이지를 방문하여 계약서에 서명하라고 안내했습니다. 

 

7. 해커들이 만든 가짜 사이트는 가스비가 없는 씨포트(Seaport) 서명 화면으로 연결되었으며, 피해자들에게 라이선스를 위해서는 서명이 필요하다고 말했습니다. 그러나 서명 시 피해자가 가지고 있는 모든 BAYC에 대한 프라이빗 묶음 목록을 단독 0.00000001 ETH에 해커에게 전송되도록 설정되어 있었습니다.

 

8. 해커는 프라이빗 판매를 완료하기 위해 matchOrders 기능을 미리 설정해두었으며, 이후 모든 NFT에 대해서 가장 높은 WETH 입찰 제안이 들어오면 이를 수락했습니다. 그리고 그 결과 해커는 852.86 WETH를 107만 DAI로 전환할 수 있었습니다.

 

9. 이후 해커들은 또 다른 새로운 지갑으로 자산을 송금했습니다. 현재 이동한 탈취 자산은 비활성 상태로 머물러 있습니다.