By Jonathan Reed
NFT (대체불가능한 토큰) 의 인기에 힘입어 몇몇 심각한 보안 위협이 나타나고 있습니다. NFT 저장소에 의심스러워 보이는 수많은 도메인들이들이 2021년 3월 이후 거의 300% 증가를 한 것이 그 예 입니다. NFT 시장에 참여하기 위해서는, 참가자들은 유효한 암호화폐지갑을 가지고 있어야 하는데, 마켓에서의 개인 계정을 통해서, 공격자들이은 NFT 소유한 사람들의 암호화폐 지갑으로 가는 경로를 발견해 냅니다.
오늘 우리가 다룰 이야기 처럼, 공격자들은 심지어 OpenSea 라는 암호화폐를 거래하는 시장의 디스코드 서버를 해킹합니다, 마치 그들이 직원인 것처럼 위장하여, 계정에 접근권한을 공유 받는 방법으로 공격자들을 속입니다. 몇몇은 오래된 피싱 기술을 이용해서 NFT 보유자들을 유혹하여, 그들의 자산을 이전시키거나 신분증명을 스스로 없애도록 만듭니다. NFT 보안 위협에서 증가하고 있는 최신 위협에 좀 더 깊이 있게 알아 봅시다.
The non-fungible token (NFT) boom has also led to some serious security incidents. For example, the number of suspicious-looking domain registrations with names of NFT stores increased nearly 300% in March 2021.To participate in an NFT marketplace, you must have an active cryptocurrency wallet. This exposes NFT holders to new risks as attackers can find ways into your crypto wallet through your marketplace account.As we’ll see, threat actors have even infiltrated NFT marketplace OpenSea’s Discord server posing as support staff to trick targets into sharing account access. Some use old-fashioned phishing techniques to lure NFT holders into transferring funds or giving up credentials. Let’s dig deeper into the emerging threats that heighten NFT security risk.
NFT 인기와 보안
2021년 NFT 시장이 가치는 최소 400억 달러 였습니다. 2022년 1월 세계에서 가장 큰 NFT 온라인 마켓에서 240만개의 NFT 들이 판매 되었습니다. 2020년 12월과 비교했을 때 수백만 매출이 증가했다는 것을 의미합니다. NFT 매출가치는 1월에 OpenSea 에서만 보았을 때 480억 달러 이상을 판매하여, 신기록을 갱신하였습니다. 이는 심지어 Christie’s 와 Sotheby’s 같은 기존의 경매시장에서도 자체 토큰을 소지하게 만들었습니다. 이러한 많은 금융활도이 나타남에 따라서, 공격자들은 이 NFT 시장에 더욱 관심을 갖게 되었습니다.
The NFT Boom and Security
In 2021, the NFT market was worth at least $40 billion. In January 2022, 2.4 million NFTs were sold on OpenSea, the world’s largest NFT marketplace. This was an increase of a million sales compared to December 2020. NFT sales by value also shattered records in January, with over $4.8 billion sold on OpenSea alone. Even traditional auction houses like Christie’s and Sotheby’s are now holding their own token auctions. With that much financial activity going on, threat actors were bound to take notice.
오래된 피싱수법과 NFT 사기
2022년 2월, 사기꾼들은 OpenSea 마켓유저들을 대상으로 하여 수백개의 NFT를 도용하였습니다. 이로 254개의 토큰이 분실되었습니다. 도난된 토큰의 예상가치는 170만 달러에 이르렀고, 이는 약 3시간 동안에 걸쳐서 일어났습니다.
OpenSea의 Devin Finzer 경영자는 트위터를 통해 피해자들은 토큰을 거래하는 온라인 계약에 서명하는 과정에서 피해를 당했다고 이야기 하였습니다. 계약서 주문 내역은 공백으로 남겨뒀고, 인증 서명이 갖춰진 상태에서 공격자들이 피해자 몰래 계약 내역을 작성했다고 밝혔으며, 이를 통해 NFT 소유권이 공격자에게 이전될 수 있었습니다.
이 공격은 아마도 계약서 서명을 잘못하게끔 요청했던 이전 피싱 이메일을 통해 발생한 것으로 보입니다. 이메일 및 소셜 미디어 피싱 공격방식을 통해 타겟대상을 속여 자격 증명을 포기하게 하는 모방 NFT 스토어 사이트도 존재하는 것으로 보입니다.
Old Fashioned Phishing and NFT Fraud
In February 2022, scammers stole hundreds of NFTs from OpenSea users with 254 tokens stolen during the attack. The estimated value of the heist totaled more than $1.7 million, all happening in the span of about three hours.
OpenSea CEO Devin Finzer tweeted that victims were duped into signing an online contract to trade tokens, but the contract order details were left blank. With the authorization signature in place, attackers then filled in the contract details without the victim’s knowledge. This enabled transfer of NFT ownership to the attackers. It’s believed this attack occurred through some kind of phishing, perhaps an email with a false request for contract signatures.
Imitation NFT store sites also exist that try to trick targets into giving up their credentials through email and social media phishing campaigns.
암호화폐 지갑의 보안을 뚫기
많은 사람들이 피싱 사기에 넘어가지 않도록 조심하고 있지만, 누군가 당신에게 무료 NFT를 선물로 보낸다면 어떻게 될까요? 그것을 받아들이면 결국 당신의 암호 지갑을 손상시키는 일련의 사건들을 촉발시킬 수 있다. 연구원들은 최근 런 방식으로 작동하 OpenSea 취약점을 발견하였으며, 공격 이벤트의 순서는 다음과 같습니다.
1.공격자는 악의적인 NFT를 만들어 대상 공격 대상자에게 전달합니다.
2.악의적인 NFT를 보고 있으면, OpenSea 스토리지 도메인에서 팝업이 나타납니다. 이 팝업은 마치 일반적인 상황인 것처럼 피해자의 암호화폐 지갑에 연결을 요청합니다.
3.선물받은 NFT를 실제로 수령하기 위해, 피해자는 지갑에 접근할 수 있는 본인의 암호화폐 지갑을 엽니다.
4.공격자는 추가 악성 팝업을 나타내면서, 지갑에서 돈을 추출할 수 있습니다.
이후 이 취약성에 대한 보안이 강화된 것으로 보고되었습니다.
Crypto Wallet Security Cracking
While many are careful not to fall for phishing scams, what if someone sends you a free NFT as a gift? Accepting it could unleash a series of events that ends up compromising your crypto wallet. Researchers recently discovered an OpenSea vulnerability that works this way. The sequence of events goes like this:
- The attacker creates and gifts a malicious NFT to a target victim.
- Upon viewing the malicious NFT, a pop-up triggers from the OpenSea storage domain. The pop-up requests connection to the victim’s cryptocurrency wallet, a common request.
- To receive the gifted NFT, the victim opens up a wallet connection enabling access to their wallet.
- Attackers can extract money from the wallet by triggering an additional malicious pop-up.
Since then, this vulnerability has reportedly been secured.
디스코드 게시판에서 가짜 NFT 기술지원
OpenSea 디스코드 서버에서 발생한 소셜엔진 공격을 생각해 보면, 공격자는 바로 대응해 주는 메시지 플랫폼에 잠복하여 누군가가 지원 질문을 하기를 기다립니다. 그런 다음 의심하지 않고 있는 대상을 기술지원지원 서버로 유인합니다.
공격자는 서버로 유인한 후 대상에게 원격지원 권한을 요청하여 해결하도록 요구합니다. 이후 피해자는 MetaMask 암호 지갑 Chrome 확장 프로그램인 MetaMask 앱 설치화 '재 동기화'하라는 요구를 받습닏. 이에 수긍하면, 기술지원을 위장한 공격자는 대상 컴퓨터에서 구성 > 고급 > 모바일 작업 체인과 동기화 작업을 수행하도록 안내하여 최종적으로 QR 코드를 생성합니다.
이후 공격자는 QR 코드를 스크린샷으로 촬영하여 해당 이미지를 사용하여 지갑을 자신의 메타마스크 앱과 동기화할 수 있고. 동기화가 끝나면 공격자는 피해자의 지갑에서 자유롭게 암호화폐 자금을 훔칠 수 있습니다.
Fake NFT Support on Discord
Consider the social engineering ruse that took place on OpenSea’s Discord server. Attackers lurked on the instant messaging platform waiting for someone to ask a support question. They then invite the unsuspecting target to a secondary fake ‘support’ server.
After luring them to their server, attackers ask the target to enable screen sharing to solve the problem. The victim is then instructed to ‘resynchronize’ their MetaMask crypto wallet Chrome extension with their MetaMask app. Next, the victim is guided to perform the Configuration> Advanced> Sync with Mobile action chain which eventually generates a QR code.
Attackers can then take a screenshot of the QR code and use the image to sync the wallet with their own MetaMask app. After syncing, the attackers can freely steal crypto funds from the victim’s wallet.
NFT 도난 및 디지털 예술작품의 속임수들
디지털 예술 작품은 어떨까요? 어떻게 사람들이 작품들을 훔칠까요? NFT가 발행되면 생성된 토큰은 URL과 같은 고유한 물리적 또는 디지털 객체에 연결됩니다. 따라서 NFT를 구입할 때 기본적으로 해당 URL을 구입합니다. 만약 당신이 위조된 예술품을 만든다고 상상해 본다면, 작품을 고유의 URL에 연결하여 팔 수 있습니다.
많은 디저털 시장에서 NFT를 판매할 때 작가의 인증이 필요하지 않을 수 있습니다. 온라인 미술품 절도범들은 마치 자신의 예술품처럼 복사, 붙여넣기, 암호화폐 발행, 판매라는 절차를 순식간에 진행을 합니다. 정보보안신문에 따르면, NFT 구매자들이 불법 복제 미술품을 구입하게 될 수도 있다고 경고를 합니다. 여기서 끝나지 않고, 공격자들은 피해자들에게 전화하여 '불법 디지털 자산을 소유하고 있다으며, 당신을 신고하겠다' 고 협박하는 전화까지 하는 대범함을 보이게 됩니다.
NFT Theft and Digital Art Scams
What about digital works of art? How do people steal them? When an NFT is minted, the created token is linked to a unique physical or digital object, such as a URL. So when you buy an NFT, you essentially buy the URL for it. If you make a counterfeit work of art, you could then sell it linked to a unique URL.
When selling NFTs on many marketplaces, artist verification may not be required. Online art thieves can simply copy, paste, mint and sell the artwork as their own. An Information Security Newspaper report explains that NFT buyers might end up purchasing illegally copied art. The scam doesn’t stop there. Later, victims might get a call from a blackmailer threatening to report them for owning stolen digital assets.
정보를 훔치는 악성 사기 프로그램
공격자들은 예술가 후원자로 위장할 수도 있습니다. 소셜 엔진을 통해 이 가짜 후원자들은 소셜 미디어 페이지를 만들어, 디지털 예술을 수집하는 것처럼 행동을 하면서, 예술가들에게 새로운 작품을 창조해 달라고 요청을 합니다. 이 과정에서 작가들은 거짓 계약과 미술품 샘플 등을 이유로 악성 프로그램을 다운로드하게 되며, 공격자들은 정보를 훔치는 레드라인 악성프로그램.의 배포를 시작합니다.
이 공격을 통해 공격자들은 장치 하드 드라이브에 저장된 사용자 이름, 암호 및 아트 파일을 훔칠 수 있으며, 악성프로그램으로 브라우저 확장자 및 wallet.dat 파일에서 암호 지갑 정보를 훔칠 수도 있습니다.
Redline Malware Scam
Threat actors can also pose as artist patrons. Through social engineering, these fake patrons set up social media pages and act as if they collect digital art. The scammers then approach artists asking them to create something new. Once they get the artist to download malware (via fake contracts, art samples, etc.) attackers can deploy Redline malware.
This attack enables threat actors to steal usernames, passwords and art files saved on device hard drives. Redline can also steal crypto wallet information from browser extensions and wallet.dat files.
트윗 도난
기존의 광범위한 NFT 속임수 중에, 지금 이야기 하는 것이 가장 쉬운 방법 중 하나 입니다. 트윗을 자동으로 NFT로 변환하여 암호화폐를 자동으로 주조하는 것 입니다. 혹시 당신은 여전히 트윗이 아무런 가치가 없다고 생각하고 계신건 아니신가요? 트위터 창업자 잭 도시의 트윗의 판매 된 금액은 290만 달러 였습니다. 만약 누군가가 그들의 작품을 트윗에 올린다면, 공격자는 트윗을 올린 사람도 모르는 사이에, 이 트윗을 작품으로 훔칠 수 있습니다. 이 사건은 예술가 RJ Palmer에게 이미 일어난 일 입니다.
새로운 신종 속임수들은 예술가들은 꼭 알아둬야 합니다. 어느 누국가가 계정에 NFT를 태킹을 하면서, 당신의 예술작품을 허락없이 NFT로 바꿀 수 있습니다. " - RJ Palmer
Tweet Theft
Among the wide range of existing NFT scams, this one is the easiest to execute. An automated NFT tweet mining bot can automatically convert tweets into NFTs.
Think tweets aren’t worth anything? Twitter founder Jack Dorsey’s first ever tweet sold for the equivalent of $2.9 million. If anyone posts their artwork in a tweet, attackers could steal it right from under their noses. This happened to artist RJ Palmer:
Cool new scam artists should be aware of. Any rando can now turn your tweet and by extension, your artwork into an NFT by tagging this account @/tokenizedtweets
Block this guy pic.twitter.com/JeHXwcoYFV
— RJ Palmer (@arvalis) March 9, 2021
NFT 보안을 강화하는 방법
NFT 보안을 강화하는 몇 가지 방법은 다음과 같습니다.
• 모든 계정에 다중인증 사용
• 피싱공격을 발견 하는 법을 숙지하고, 의심스럽거나 원치 않는 전자 메일을 클릭하거나 다운로드하지 않는 방법 알아보기
• 새로운 예술을 창조하려는 요청에 주의해야 합니다. 요청자의 백그라운드를 자세히 살펴보고, 소셜 미디어 사이트를 검색하고, 가능하면 참조 자료를 얻습니다.
• 소프트웨어 지갑 대신 하드웨어 지갑 사용
• 다른 사람이 사용자의 미술품을 도용한 경우 DMCA 저작권 관리협회에 개시중단요청을 할 수 있습니다.
NFT세계는 아직 시작 단계이며, 위험과 함께 기회도 증가하고 있습니다. NFT 투자에 참여하는 사람들에게는 보안 위협에 대한 최신 정보를 유지하는데 노력을 기울려야 합니다.
How to Improve NFT Security
Some ways to boost NFT security include:
- Use multifactor authentication for all accounts
- Learn how to spot phishing attacks and never click or download anything from suspicious or unsolicited emails
- Beware of requests to create new art. Dig into the requester’s background, scour their social media site and get references if possible.
- Use a hardware wallet instead of a software wallet
- Note that you can use DMCA copyright infringement takedowns if someone steals your art.
The NFT universe is still in its infancy, and the opportunities are growing, as is the risk. For those who participate in NFT investments, it pays to remain up to date about security threats.
https://securityintelligence.com/articles/nft-security-risks-old-scams-new-tricks/