Marketplace terbesar non-fungible token (NFT) OpenSea dilaporkan mengalami serangan phishing dan ratusan token NFT dicuri dari pengguna yang mengklik tautan berbahaya.
Upaya hacker ini terjadi pada Minggu (20/2) dan menyebabkan kepanikan di antara pengguna platform tersebut.
Sebuah dokumen dari perusahaan keamanan blockchain PeckShield menyebutkan total 254 token telah berhasil dicuri dalam serangan tersebut, termasuk sejumlah token dari Decentraland dan token populer Bored Ape Yacht Club (BAYC).
Rangkaian serangan tersebut berlangsung pada pukul 05.00 hingga 08.00 WIB, dan menyasar total 32 pengguna. Molly White, yang menjalankan blog Web3 is Going Great memperkirakan nilai token yang dicuri mencapai lebih dari US$1,7 juta atau sekitar Rp24,42 miliar.
Serangan yang terjadi ini dilaporkan mengeksploitasi fleksibilitas Protokol Wyvern, standar sumber terbuka yang mendasari sebagian besar kontrak pintar NFT, termasuk yang dibuat di OpenSea.
CEO OpenSea Devin Finzer mengutip sebuah thread di Twitter yang menggambarkan serangan dalam dua bagian. Pertama, target menandatangani kontrak parsial, dengan otorisasi dan sebagian besar dibiarkan kosong.
Dengan tanda tangan tersebut, penyerang menyelesaikan kontrak dengan perintah ke kontrak mereka sendiri, yang mengalihkan kepemilikan NFT tanpa pembayaran.
Intinya, target serangan telah menandatangani cek kosong, dan setelah ditandatangani, penyerang mengisi sisa cek untuk mengambil kepemilikan mereka.
“Saya memeriksa setiap transaksi,” kata seorang pengguna yang akrab disapa Neso, seperti dikutip The Verge.
“Mereka semua memiliki tanda tangan yang sah dari orang-orang yang kehilangan NFT sehingga siapa pun yang mengklaim bahwa mereka tidak terkena phishing tetapi kehilangan NFT sayangnya salah,” imbuhnya.
OpenSea telah menjadi salah satu perusahaan besar di industri NFT dengan nilai US$13 miliar atau Rp186,76 triliun dalam putaran pendanaan. Platform ini menyediakan antarmuka yang sederhana bagi pengguna untuk mendaftar, menelusuri, dan menawar token tanpa berinteraksi langsung dengan blockchain.
Keberhasilan tersebut tampaknya menghadapi tantangan masalah keamanan yang signifikan. Kini perusahaan perlu menghadapi serangkaian serangan yang memanfaatkan kontrak lama atau ‘token beracun’ untuk mencuri kepemilikan berharga pengguna.
OpenSea disebut sedang dalam proses memperbarui sistem kontraknya ketika serangan terjadi, namun membantah bahwa serangan itu berasal dari kontrak baru. Jumlah target yang relatif kecil membuat kerentanan semacam itu tidak mungkin terjadi, karena cacat di platform harusnya dieksploitasi dalam skala yang jauh lebih besar.
Sumber : CNN [dot] COM