REPUBLIKA.CO.ID, JAKARTA – Ratusan non fungible token (NFT) dicuri dari pengguna OpenSea pada Sabu (19/2/2022). Serangan peretas ini menyebabkan kepanikan di antara pengguna.
Laporan yang disusun oleh layanan keamanan blockchain PeckShield menghitung 254 token telah dicuri selama serangan, termasuk token dari Decentraland dan Bored Ape Yacht Club (BAYC).
Molly White yang menjalankan blog Web3 is Going Great, memperkirakan nilai token yang dicuri lebih dari 1,7 juta dolar AS atau sekitar Rp 24 miliar dan menargetkan total 32 pengguna. Serangan itu tampaknya telah mengeksploitasi fleksibilitas dalam Protokol Wyvern, standar sumber terbuka yang mendasari sebagian besar kontrak pintar NFT, termasuk yang dibuat di OpenSea.
CEO OpenSea Devin Finzer menggambarkan serangan dalam dua bagian dari penjelasan salah satu pengguna Twitter. Pertama, ketika target menandatangani kontrak sebagian dengan otorisasi umum dan sebagian besar dibiarkan kosong.
Dengan tanda tangan di tempat, penyerang menyelesaikan kontrak dengan panggilan ke kontrak mereka sendiri yang mengalihkan kepemilikan NFT tanpa pembayaran. Intinya, target serangan telah menandatangani cek kosong dan setelah ditandatangani, penyerang mengisi sisa cek untuk mengambil kepemilikan mereka.
“Saya memeriksa setiap transaksi. Mereka semua memiliki tanda tangan yang sah dari orang-orang yang kehilangan NFT sehingga siapa pun yang mengklaim bahwa mereka tidak terkena phishing tetapi kehilangan NFT sayangnya salah,” kata pengguna bernama Neso, dikutip The Verge, Selasa (22/2).
Bernilai 13 miliar dolar Amerika dalam putaran pendanaan baru-baru ini, OpenSea telah menjadi salah satu perusahaan paling berharga dari ledakan NFT. Keberhasilan itu datang dengan masalah keamanan yang signifikan karena perusahaan telah berjuang dengan serangan yang memanfaatkan kontrak lama untuk mencuri kepemilikan berharga pengguna.
OpenSea sedang dalam proses memperbarui sistem kontraknya ketika serangan itu terjadi, tetapi OpenSea membantah serangan itu berasal dari kontrak baru. Jumlah target yang relatif kecil membuat kerentanan seperti itu tidak mungkin terjadi karena cacat apa pun di platform yang lebih luas kemungkinan akan dieksploitasi dalam skala yang jauh lebih besar.
Namun, banyak detail serangan yang masih belum jelas, terutama metode yang digunakan penyerang untuk mendapatkan target dan menandatangani kontrak setengah kosong. Finzer mengatakan serangan itu tidak berasal dari situs web OpenSea, berbagai sistem daftarnya, atau email apa pun dari perusahaan.
Laju serangan yang cepat, ratusan transaksi dalam hitungan jam menunjukkan beberapa kecepatan serangan yang umum, tetapi sejauh ini tidak ada tautan yang ditemukan.
“Kami akan terus memberi Anda informasi terbaru saat kami mempelajari lebih lanjut tentang sifat sebenarnya dari serangan phishing. Jika Anda memiliki informasi spesifik yang dapat berguna, silakan DM @opensea_support,” ujar Finzer.