Selular.ID – Pada Sabtu (19/02) ada serangan phising mencuri ratusan NFT dari pengguna OpenSea, dengan cara memanfaatkan laman situs palsu untuk mengelabui calon korban.
Spreadsheet yang disusun oleh layanan keamanan blockchain PeckShield menghitung 254 token yang dicuri selama serangan, termasuk token dari Decentraland dan Bored Ape Yacht Club.
Ternyata serangan terjadi antara pukul 17.00 dan 20.00, menargetkan total 32 pengguna. Molly White, yang menjalankan blog Web3 is Going Great, memperkirakan nilai token yang dicuri lebih dari 1,7 juta USD atau Rp 24,3 miliar.
Mengutip dari The Verge Serangan itu tampaknya telah mengeksploitasi fleksibilitas dalam Protokol Wyvern, standar sumber terbuka yang mendasari sebagian besar kontrak pintar NFT, termasuk yang dibuat di OpenSea.
Baca Juga: Seperti Ini Proyeksi Tren NFT di Indonesia
Dalam akun Twitter David Finzer selaku CEO Open Sea, justru mematahkan laporan yang beredar luas karena menurutnya peretasan itu telah menyebabkan kehilangan US$ 200 juta.
For more technical context, this thread (https://t.co/oHGgA3wLHP) is consistent with our current internal understanding.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Menurut Finzer, penyerang memiliki USD 1,7 juta Ethereum di dompetnya dari menjual beberapa NFT yang dicuri.
“Kami menduga serangan itu tidak terhubung ke situs OpenSea. Tampaknya 32 pengguna sejauh ini telah menandatangani muatan berbahaya dari penyerang, dan beberapa NFT mereka dicuri,” kata Finzer.
Finzer juga menggambarkan serangan tersebut menggunakan dua bagian, pertama, target menandatangani kontrak parsial, dengan otorisasi umum dan sebagian besar dibiarkan kosong.
Baca Juga: 5 Tips Menjual NFT Supaya Laku di Marketplace, Jangan Asal Kasih Harga
Dengan tanda tangan di tempat, penyerang menyelesaikan kontrak dengan panggilan ke kontrak mereka sendiri, yang mengalihkan kepemilikan NFT tanpa pembayaran.
Intinya, target serangan telah menandatangani cek kosong dan setelah ditandatangani, penyerang mengisi sisa cek untuk mengambil kepemilikan mereka.
Pengguna NFT Open sea denga nama Neso juga mengungkapkan sering memerikasa transaksi maka dari itu berarti para penyerang phising memiliki tanda tangan sah dari orang-orang yang kehilangan NFTnya
“Saya memeriksa setiap transaksi, Mereka semua memiliki tanda tangan yang sah dari orang-orang yang kehilangan NFT sehingga siapa pun yang mengklaim bahwa mereka tidak terkena phishing” ujar Neso
Baca Juga: TokoMall Ambil Momentum Imlek, 888 NFT Dikemas Dalam Fitur TokoSurprise
Ini menjadi masalah baru bagi OpenSea yang baru saja mendapatkan dana sebanyak 13 miliar USD, karena OpenSea telah menjadi salah satu perusahaan paling berharga dari ledakan NFT.
Dengan adanya masalah ini kemungkinan mengurangi trust para pengguna OpenSea terhadap keamanan yang dimiliki.
