254 NFT Dibobol Hacker, Pengguna OpenSea Rugi Rp24,3 Miliar
Uzone.id Sudah capek-capek berkarya lewat NFT (non-fungible token) di platform populer seperti OpenSea, eh malah jadi korban phishing oleh hacker. Tak tanggung-tanggung, mereka mencuri sampai ratusan token dan kerugian yang dialami tak sedikit.
Baru-baru ini beberapa pengguna OpenSea terkena musibah phishing yang sempat menyebabkan panik tengah malam. Kejadiannya pada Sabtu, 19 Februari 2022, kala itu ada laporan dari layanan keamanan blockchain PeckShield yang menemukan bahwa ada 254 token NFT dicuri.
Mengutip berbagai sumber, 254 NFT yang dibobol tersebut sudah termasuk token dari Decentraland dan koleksi Bored Ape Yacht Club.
Aksi phishing tersebut berlangsung dari pukul 17.00 sampai 20.00 waktu setempat dan menargetkan total 32 pengguna OpenSea. Bisa dibilang, selama 3 jam terjadi pembobolan 254 NFT dan diperkirakan kerugian yang dialami oleh para pengguna OpenSea mencapai USD1,7 juta atau setara Rp24,3 miliar.
Serangan phishing tersebut tampaknya mengeksploitasi Wyvern Protocol, standar open-source yang mendasari sebagian besar kontrak digital antara pemain NFT, termasuk yang dibuat di OpenSea.
CEO OpenSea, Devin Finzer menjelaskan di Twitter, bahwa serangan phishing ini terbagi dalam dua bagian. Pertama, menargetkan kontrak yang sebagian telah ditandatangani dengan otorisasi umum dan sebagian besar kontrak dibiarkan kosong.
Kedua, saat sudah ada tanda tangan di kontrak tersebut, hacker telah menyelesaikan kontrak mereka sendiri yang mengalihkan kepemilikan NFT tanpa pembayaran.
Singkatnya, pihak yang menjadi target phishing ini telah menandatangani cek kosong, dan ketika sudah ditandatangani, hacker dapat mengisi sisa cek agar bisa kepemilikan mereka.
Hal ini sesuai dengan salah satu pengakuan pengguna OpenSea yang menjadi korban.
Saya mengecek setiap transaksi dan semuanya dilengkapi oleh tanda tangan valid dari orang-orang yang kehilangan NFT-nya. Jadi siapapun yang mengklaim mereka tidak mengalami phishing tapi kehilangan NFT adalah tidak benar, ungkap pengguna yang memiliki username Neso.
Dari laporan The Verge, masih ada beberapa rincian serangan phishing ini masih belum jelas kelanjutan, khususnya metode para hacker yang mengincar para target demi mendapatkan kontrak setengah kosong tersebut.
Kami akan memberikan kelanjutan terbaru setelah sudah mendapatkan informasi lebih lanjut mengenai dasar dari serangan phishing ini. Jika ada informasi yang bermanfaat terkait hal ini, bisa kirimkan pesan ke Twitter @opensea_support, tutup Finzer.