NFT 마켓플레이스 SuperRare 해킹 사건
NFT 마켓플레이스 SuperRare의 RareStakingV1 계약이 해킹당해 11.9M RARE 토큰이 유출되었습니다. 중요한 점은 이 취약점이 기본 $RARE 토큰 계약이나 그 핵심 기능에 영향을 미치지 않았다는 것입니다.
SuperRare의 해킹된 RareStakingV1 계약은 2023년 8월에 시작된 플랫폼의 스테이킹 및 큐레이션 이니셔티브의 일환으로 도입되었습니다. Rare Protocol은 NFT 공간에서 지속적으로 발생하는 문제인 품질 큐레이션 및 창작자 발견을 해결하기 위한 솔루션으로 설계되었습니다. 큐레이션 스테이킹 메커니즘을 통해 참가자들은 기본 $RARE 토큰을 사용하여 아티스트에 스테이킹하고, 그들의 커뮤니티 풀에 참여하며, 해당 아티스트가 판매를 할 때 보상을 받습니다.
해킹 원인 및 과정
SuperRare 스테이킹 계약 해킹의 원인은 updateMerkleRoot의 잘못된 권한 검사입니다. Web3 보안 회사 Blockaid와 위협 인텔리전스 플랫폼 MistEye의 경고에 따르면, 이 해킹은 RareStakingV1 계약 내의 “updateMerkleRoot” 기능에서 발생한 잘못된 권한 검사에서 비롯되었습니다. 이 기능은 스테이킹 및 보상 청구를 검증하는 Merkle Root의 업데이트를 제한하도록 설계되었으나, 코드가 이를 강제하지 못해 누구나 Merkle Root를 수정하고 토큰을 청구할 수 있게 되었습니다.
“그 결과, 어떤 주소든 검증을 통과하고 무단 청구를 할 수 있었습니다.” – Blockaid
Blockaid는 이 해킹이 두 단계로 진행되었다고 보고했습니다: 첫째, 공격자가 해킹 계약을 배포했습니다. 공격자는 해킹을 실행하기 전에 다른 주소가 대기 중인 거래를 관찰하고 다음 블록에서 이를 앞질러 자금을 성공적으로 유출했습니다. Cyvers는 이 프론트 러닝 사건을 확인하고 원래 공격자의 자금이 약 186일 전 Tornado Cash와 연결되어 있음을 추적했습니다. 그러나 추가 연구 결과, 공격자가 “활발한 DeFi 농부”일 가능성이 있으며, 해당 주소는 Pendle, Uniswap, Odos, Reservoir, Morpho 등 여러 플랫폼과 상호작용한 것으로 나타났습니다.
특히, 약 731,000달러에 해당하는 자금은 공격자의 계약에 남아 있으며, 거래소나 믹싱 서비스를 통해 이동되거나 세탁되지 않았습니다. 현재까지 SuperRare는 사후 분석이나 상세한 수정 계획을 발표하지 않았습니다.
NFT 시장의 부활과 해킹 사건
이 해킹 사건은 NFT 부문이 부활의 조짐을 보이기 시작하는 가운데 발생했습니다. 긴 시장 침체 이후, NFT 공간은 단 24시간 만에 10억 달러 이상의 가치를 추가하며 거래량이 287% 증가하여 3,740만 달러에 달했습니다. 이러한 부활은 이더리움의 지속적인 상승세와 밀접한 관련이 있으며, ETH는 지난 한 달 동안 55% 상승하여 2024년 12월 이후 최고 가격인 3,814달러에 도달했습니다.
많은 NFT가 ETH로 가격이 책정되기 때문에, 이 강세 모멘텀은 구매자들의 관심을 되살리고 주요 컬렉션의 바닥 가격을 끌어올렸습니다. CryptoPunks와 Pudgy Penguins는 이 회복의 선두주자로 떠올랐습니다. CryptoPunks는 바닥 가격이 16% 상승하여 47.5 ETH(약 179,000달러)에 도달하며 24시간 동안 1,400만 달러의 매출을 올렸습니다. Pudgy Penguins는 570만 달러의 일일 거래량과 15%의 바닥 가격 상승을 기록하며 뒤를 따랐습니다.
