Rp24,4 Miliar NFT Berpindah Tangan, Setelah Peretas Serang Pengguna OpenSea

JAKARTA  - Sabtu, 19 Februari sebuah serangan peretas atau hacker telah mencuri ratusan NFT dari pengguna di aplikasi OpenSea. Serangan ini , menyebabkan kepanikan hingga larut malam di antara basis pengguna situs yang luas.

Spreadsheet yang disusun oleh layanan keamanan blockchain PeckShield menghitung 254 token telah dicuri selama serangan tersebut, termasuk token dari Decentraland dan Bored Ape Yacht Club.

Sebagian besar serangan terjadi antara pukul 17.00 dan 20.00 ET (eastern time),  yang menargetkan total 32 pengguna. Molly White, yang menjalankan blog Web3 is Going Great, memperkirakan nilai token yang dicuri lebih dari 1,7 juta dolar AS (Rp24,4 miliar)

Serangan itu tampaknya telah mengeksploitasi fleksibilitas dalam Protokol Wyvern, standar sumber terbuka yang mendasari sebagian besar kontrak pintar NFT, termasuk yang dibuat di OpenSea. Satu penjelasan (ditautkan oleh CEO Devin Finzer di Twitter) menggambarkan serangan dalam dua bagian.

Pertama, target menandatangani kontrak sebagian, dengan otorisasi umum dan sebagian besar dibiarkan kosong. Dengan tanda tangan di tempat, penyerang menyelesaikan kontrak dengan panggilan ke kontrak mereka sendiri, yang mengalihkan kepemilikan NFT tanpa pembayaran.

Intinya, target serangan telah menandatangani cek kosong dan setelah ditandatangani, penyerang mengisi sisa cek untuk mengambil alih kepemilikan mereka.

“Saya memeriksa setiap transaksi,” kata pengguna yang akrab disapa Neso seperti dikutip The Verge. “Mereka semua memiliki tanda tangan yang sah dari orang-orang yang kehilangan NFT sehingga siapa pun yang mengklaim bahwa mereka tidak terkena phishing tetapi kehilangan NFT adalah salah.”

OpenSea yang kini memiliki nilai 13 miliar dolar AS (Rp 186,7 triliun) dalam putaran pendanaan baru-baru ini, telah menjadi salah satu perusahaan paling berharga dari ledakan NFT. Mereka menyediakan antarmuka yang sederhana bagi pengguna untuk mendaftar, menelusuri, dan menawar token tanpa berinteraksi langsung dengan blockchain.

Keberhasilan itu muncul dengan masalah keamanan yang signifikan, karena OpenSea telah berjuang menghadapi serangan yang memanfaatkan kontrak lama atau token beracun untuk mencuri kepemilikan berharga pengguna.

OpenSea sedang dalam proses memperbarui sistem kontraknya ketika serangan itu terjadi, tetapi OpenSea membantah bahwa serangan itu berasal dari kontrak baru. Jumlah target yang relatif kecil membuat kerentanan seperti itu tidak mungkin terjadi, karena cacat apa pun di platform yang lebih luas kemungkinan akan dieksploitasi dalam skala yang jauh lebih besar.

Namun, banyak detail serangan yang masih belum jelas, terutama metode yang digunakan penyerang guna mendapatkan target untuk menandatangani kontrak setengah kosong.

While the attacker stopped >4 hours ago, our investigation is ongoing. We’ll keep you updated as we learn more about the exact nature of the phishing attack. If you have specific information that could be useful, please DM @opensea_support.

— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

Dalam cuitan di Twitter sesaat sebelum pukul 3 pagi ET, CEO OpenSea, Devin Finzer, mengatakan serangan itu tidak berasal dari situs web OpenSea, dan berbagai sistem daftarnya, atau email apa pun dari perusahaan. Laju serangan yang cepat, ratusan transaksi dalam hitungan jam, menunjukkan beberapa vektor serangan yang umum, tetapi sejauh ini tidak ada tautan yang ditemukan.

“Kami akan terus memberi Anda informasi terbaru saat kami mempelajari lebih lanjut tentang sifat sebenarnya dari serangan phishing,” kata Finzer di Twitter. “Jika Anda memiliki informasi spesifik yang dapat berguna, silakan DM @opensea_support.”.