NFT 지갑이 해킹될 수 있나요?

NFT 지갑이 손상되는 방법

1. 악의적인 토큰 승인으로 인해 승인되지 않은 스마트 계약이 개인 키를 직접 노출하지 않고도 자산을 유출할 수 있습니다.

2. 피싱 공격은 MetaMask 보안 업데이트 프롬프트와 같은 공식 인터페이스를 모방하여 사용자를 속여 시드 문구를 공개하도록 합니다.

3. Discord 및 Telegram 채널의 사회 공학은 피해자가 민트 또는 청구 조치로 위장한 악의적인 거래에 서명하도록 유도합니다.

4. 가짜 에어드랍은 스냅샷 논리를 활용하여 사용자에게 무료 토큰을 받는 것처럼 위장하여 지갑을 연결하고 위험한 계약을 승인하도록 유도합니다.

5. 브라우저 확장 하이재킹은 DApp 상호 작용 중에 악성 스크립트를 주입하여 제출 전에 트랜잭션 매개변수를 변경합니다.

실제 도난 패턴

1. 2025년 12월, OpenSea 사용자를 대상으로 한 단일 피싱 캠페인에서 170만 달러 상당의 254개 이상의 NFT가 도난당했습니다.

2. Bored Ape Yacht Club NFT #3738은 소유자가 공식 프로젝트 도메인을 모방한 위조 조폐국 사이트를 방문한 후 2026년 만우절에 손상되었습니다.

3. MoonManNFT 사건으로 인해 무해해 보이는 무료 민트 계약을 승인한 지갑에서 약 400개의 NFT가 빠져나갔습니다.

4. 우크라이나 기반 공격자는 유효한 Let's Encrypt 인증서가 포함된 가짜 "MetaMask Security Center" 도메인을 배포하여 여러 관할권에서 자격 증명을 수집했습니다.

5. PeckShield는 프런트엔드 지연으로 인해 블록체인이 확인되기 전에 가격이나 소유권 필드를 조작할 수 있는 API 기반 마켓플레이스 공격이 급증했다고 보고했습니다.

인프라 수준 취약점

1. HTTP 서버에 NFT 메타데이터를 중앙 집중식으로 저장하면 단일 실패 지점이 생성됩니다. 즉, 서버가 오프라인이 되거나 손상되면 시각적 표현이 사라집니다.

2. 고정 서비스가 잘못 구성된 경우 IPFS 콘텐츠 식별자(CID)가 변경될 수 있으며, 이로 인해 블록체인 수준 감지 없이 ​​이미지가 대체될 수 있습니다.

3. Arweave 기반 자산은 영구 저장 보장에 의존하지만 검색 엔드포인트는 DNS 중독 또는 TLS 스트리핑 공격으로 인해 어려움을 겪을 수 있습니다.

4. 온체인 생성 예술 계약에는 때때로 확인되지 않은 외부 호출이 포함되어 있어 조작된 입력을 통해 원격 코드 실행이 허용됩니다.

5. ERC-721 및 ERC-1155 표준은 URI 불변성을 강제하지 않습니다. 개발자는 사용자 동의 없이 배포 후 기본 자산 위치를 변경할 수 있습니다.

지갑별 공격 벡터

1. MetaMask와 같은 핫 지갑 확장 프로그램은 사용하지 않은 경우에도 주입된 JavaScript에 계속 노출됩니다. 뉴스 사이트의 악성 광고는 자동 서명 요청을 트리거합니다.

2. 모바일 지갑 QR 코드 스캔 기능이 카메라 권한 부여 시 승인 거래 자동 제출에 남용되었습니다.

3. Ledger 및 Trezor 장치는 각 거래마다 수동 확인이 필요하지만 비공식 채널을 통해 제공되는 펌웨어 업데이트에는 백도어가 도입되었습니다.

4. 다중 서명 지갑은 조정 위험에 직면합니다. 손상된 공동 서명자 장치 또는 서명자에 대한 사회 공학은 임계값 보호를 우회할 수 있습니다.

5. WalletConnect 세션은 필요 이상으로 오래 지속되므로 재사용된 세션 ID를 사용하여 초기 페어링 후 무단 전송을 시작할 수 있습니다.

자주 묻는 질문

Q: 하드웨어 지갑은 모든 NFT 도난 위험을 제거합니까? 아니요. 하드웨어 지갑은 개인 키를 보호하지만 사기성 UI 또는 손상된 dApp 프런트엔드로 인해 발생하는 악의적인 트랜잭션 서명을 방지할 수는 없습니다.

Q: 의심스러운 토큰 승인이 피해를 입히기 전에 감지할 수 있습니까? 예. Revoke.cash 및 Etherscan의 토큰 승인 탭과 같은 도구를 사용하면 사용자는 특정 계약에 대한 활성 허용량을 검토하고 취소할 수 있습니다.

Q: 모든 NFT 마켓플레이스에서 "지갑 연결"을 클릭해도 안전한가요? 본질적으로 아닙니다. 각 연결은 지갑 잔액에 대한 가시성을 부여하고 사이트에서 내장된 계약 호출을 사용하는 경우 자동 승인 요청을 트리거할 수 있습니다.

Q: 일부 도난당한 NFT가 도난 후 몇 시간 후에 2차 시장에 다시 나타나는 이유는 무엇입니까? Blur 및 LooksRare와 같은 마켓플레이스는 상장 시 실시간 소유권 확인을 수행하지 않고 판매 실행 시에만 수행하기 때문입니다.