Jakarta, Unbox.id – Pada hari Sabtu (19/02), hacker mencuri token NFT dari pengguna OpenSea, menyebabkan kepanikan di papan pengguna di tengah malam. Sebuah Spreadsheet yang dikumpulkan oleh layanan sekuritas blockchain PeckShield menghitung sebanyak 254 token dicuri dalam sebuah rangkaian serangan, termasuk dari Decentraland dan Bored Ape Yacht Club.
Total token yang dicuri ini diperkirakan setara dengan $1,7 juta dolar Amerika, berdsarkan Web3 is Going Great blog. Masih belum jelas bagaimana pelaku bisa “menghilangkan” NFT dari dompet pemiliknya. Namun besar kemungkinan para korban terkena serangan phishing. Phishing umumnya mengacu pada usaha pengelabuan untuk mendapatkan data pribadi milik orang lain.
Berdasarkan The Verge, serangan phishing di OpenSea ini terjadi antara pukul 5 sore hingga pukul 8 malam ET, menargetkan 32 pengguna. Serangan diperkirakan mengeksploitasi fleksibilitas di Protokol Wyvern, sebuah standar open-source yang mendasari kebanyakan smart contract NFT, termasuk yang dipakai di OpenSea.
Sebuah penjelasan yang disusun oleh CEO OpenSea Devin Finzer di Twitter menyebutkan serangan ini terdiri dari 2 bagian. Pertama, para target menandatangani kontrak partial yang mengosongkan bagian general authorization dan sebagian besar bagian lainnya kosong. Dengan tanda tangan tersebut, pelaku bisa melengkapi kontrak tersebut sesuai keinginan mereka, termasuk mentransfer kepemilikan NFT tanpa biaya.
Hal ini sesuai dengan pernyataan seorang pengguna dengan alias Neso yang dikutip oleh The Verge, “Saya mengecek setiap transaksi. Mereka semua memiliki tanda tangan yang valid dari mereka yang kehilangan NFT, jadi semua orang mengklaim mereka tidak phishing tetapi kehilangan NFT adalah salah.”
Baca juga: Melania Trump Menangkan Lelang NFT-nya Sendiri?
Sumber Phishing Belum Jelas
We have confidence that this was a phishing attack. We don’t know where the phishing occurred, but we’ve been able to rule out a number of things based on our conversations with the 32 affected users. Specifically:
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Masih belum diketahui bagaimana serangan phishing OpenSea ini terjadi, termasuk sumber pelaku mendapatkan tanda tangan pengguna. Berdasarkan kabar terbaru yang dibagikan oleh Devin Finzer, serangan tersebut sudah dikonfirmasi tidak bersumber dari website OpenSea, interaksi dengan email OpenSea, maupun transaksi di platform.
Selain itu, tidak ada juga faktor penghubung dari sistem listing dan fiturnya dari OpenSea ataupun banner yang tersedia di website. Kecepatan serangan yang terjadi – ratusan transaksi dalam hitungan jam, menunjukkan ada faktor khusus yang sama yang dipakai. Namun hingga saat ini, faktor ini masih belum diketahui.
OpenSea saat ini bernilai setara $13 miliar dalam putaran modal baru-baru ini. Hal ini menjadikannya salah satu perusahaan paling bernilai dalam booming NFT. Website ini menawarkan keunggulan interface yang simpel bagi pengguna untuk listing, browsing, dan mengikuti lelang token tanpa perlu berinteraksi langsung dengan blockchain.
Namun kesuksesan ini juga datang dengan berbagai isi keamanan. Seperti sebelumnya, pengguna OpenSea pernah kehilangan keuntungannya karena serangan dengan memanfaatkan kontrak lama yang terasosiasi dengan NFT milik mereka.
Pada Sabtu (19/02) lalu, berdasarkan Engadget, platform ini juga baru saja memperkenalkan smart contract baru dan meminta penggunanya untuk memindahkan listing milik mereka segera sebelum Jumat, 25 Februari.
Sumber: TheVerge, Engadget
Foto: berbagai sumber
Karya yang dimuat ini adalah tanggungjawab penulis seperti tertera, tidak menjadi bagian tanggungjawab redaksi unbox.id.
