[블록미디어 박수용 에디터] 대체불가능토큰(NFT) 마켓플레이스 매직에덴이 자체 토큰 매직에덴(ME)을 출시하며 50억달러(약 7조1600억원) 규모의 에어드롭을 실시한 가운데, 매직에덴이 보안에 취약한 방식으로 에어드롭을 진행했다는 지적이 나온다.
10일(현지시각) 디지털자산(가상자산) 전문 매체 코인데스크는 업계 관계자를 인용해 “매직에덴 에어드롭 절차는 비정형적이었다”라며 “보안 모범 사례를 위반할 수 있다”고 보도했다. 최근 매직에덴은 마켓플레이스 충성 사용자를 대상으로 ME 에어드롭을 실시했다. 사용자는 자신에게 할당된 ME를 확인하고 이를 수령하기 위해 우선 ME 재단 웹사이트에 방문해 모든 크로스체인 지갑을 연결하고, 매직에덴 모바일 앱을 다운로드해야 했다.
The $ME airdrop is a great example of the dangers of trying to do too many things at once
An airdrop is probably the biggest brand and community moment any crypto company will ever have
The key focus should be on rewarding loyal users and transforming them into your biggest…
— Alex (@AlexOnchain) December 10, 2024
알렉스 전 소셜미디어·커뮤니티 총괄은 자신의 X(옛 트위터)에서 “(에어드롭 과정에서) 앱 다운로드 의무화와 같이 추가적인 레이어를 추가하는 것이 논리적으로 보일 수 있지만, 실제로는 위험 요소를 추가하는 것”이라며 “여러 가지를 하려다 잘못할 수 있다”고 설명했다.
# 지갑 연결 과정에서 개인정보 유출 위험 생겨
코인데스크는 한 업계 소식통을 인용해 “매직에덴 에어드롭을 복잡하게 만든 지갑 문제가 사용자 프라이버시를 위협할 수 있다”고 경고했다. ME 에어드롭을 받으려면 사용자는 자격을 갖춘 지갑에서 매직에덴의 지갑 앱으로 개인 키를 가져오거나, 매직에덴의 앱에서 새 지갑을 만들어 기존 지갑에 연결해야 했다. 매체는 “이 과정에서 이전에 연결되지 않았던 지갑 간에 개인정보가 유출될 수 있는 연결 고리가 생길 수 있다”고 짚었다.
# 사용자 복구 문구와 개인 키를 보관하는 것도 보안 규범에 위배
코인데스크는 “이 과정이 매직 에덴의 지갑 채택을 촉진한 것은 분명하다”면서도 “일반적으로 대부분의 앱은 토큰 출시를 지갑과 연동하지 않는다”고 전했다. 특히 매직에덴 지갑이 통상적인 보안 관행을 따르지 않았다는 점도 강조했다. 매체는 “매직에덴은 사용자의 복구 문구(시드 문구)와 개인 키 백업을 앱에 보관하고 있다”며 “이 정보를 삭제할 수 있는 명확한 방법도 없다”고 꼬집었다. 매체는 이를 “서비스를 사용자 친화적으로 만들지만, 지갑 설계와 보안에 관한 기존 규범에 위배되는 행위”라고 비판했다.
# 다른 지갑으로 이전도 어려워
코인데스크는 매직에덴 앱 내에서 생성된 지갑은 다른 지갑으로 쉽게 이전할 수 없다. 코인데스크는 매직에덴에서 제공한 12단어 복구 문구를 사용하여 팬텀에서 매직에덴이 생성한 지갑을 복구하려고 시도했으나, 이 과정에서 완전히 다른 주소가 제어됐다. 이는 매직 에덴이 다른 주요 지갑과 기술 설정이 달라 발생하는 문제로, 복구 문구가 아닌 개인 키를 이용해야 해결할 수 있다.
업계 소식통은 “이러한 점을 잘 모르는 사용자는 12개의 단어로 이루어진 복구 문구만 보고 매직에덴 지갑을 다른 앱으로 옮기려고 시도할 수 있다”며 “그 과정에서 연결에 문제가 생기면 사용자들은 자신의 돈이 영원히 사라졌다고 오인할 수 있다”고 내다봤다.
같이 보면 좋은 기사
