세계 최대 NFT 시장에서 발견되고 패치된 취약점...블록체인 생태계 매우 복잡해

요약 : 보안 외신 핵리드에 의하면 오픈시(OpenSea)라는 유명 NFT 시장에서 XS검색(cross-site search) 취약점이 발견됐다고 한다. 익스플로잇에 성공할 경우 공격자는 사용자 아이덴티티 정보를 획득할 수 있게 된다. 특정 NFT에 IP 주소, 이메일 주소, 브라우저 세션만 연결시키면 익스플로잇이 끝난다고 하며, 여기서부터는 피해자의 지갑 정보에 접근하게 되고, 지갑 정보에서 피해자의 신원 정보를 가져갈 수 있게 된다.


배경 : XS검색 취약점은 쿼리를 기반으로 한 검색 기능을 가지고 있는 웹 앱에서 발견되는 것으로, 출처가 다른 정보를 간단한 검색엔진 조작을 통해 얻어갈 수 있게 해 준다. 즉 원래는 빼갈 수 없는 민감한 정보를 웹 앱을 통해 추출하는 기법 중 하나라고 볼 수 있다.

말말말 : “다행히 오픈시 측에서는 제보를 받은 후 취약점을 빠르게 해결했습니다. 하지만 블록체인 생태계가 워낙 기술적으로 복잡하게 구성되어 있으므로, 앞으로 더 많은 취약점들이 등장할 것으로 예상됩니다.” -임퍼바(Imperva)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>