Techbiz.id – Marketplace penyedia transaksi jual-beli NFT, OpenSea, dilaporkan telah diserang sekelompok hacker. Laporan menyebutkan ratusan NFT dengan nilai perkiraan mencapai 1,7 juta dolar AS atau sekitar Rp 24,3 miliar berhasil dicuri.
Spreadsheet yang disusun oleh layanan keamanan blockchain PeckShield menghitung 254 token yang dicuri selama serangan, termasuk token dari Decentraland dan Bored Ape Yacht Club. Sebagian besar serangan terjadi antara pukul 17.00 dan 20.00 ET (Minggu, pukul 05.00/ 08.00 WIB) menargetkan total 32 pengguna, seperti dilansir dari The Verge, Senin (21/2/2022).
Serangan ini dilaporkan mengeksploitasi fleksibilitas Protokol Wyvern, standar open source yang mendasari sebagian besar kontrak pintar NFT, termasuk yang dibuat di OpenSea.
CEO OpenSea, Davin Finzer, mengutip penjelasan dari thread Twitter yang mengatakan kalau serangan itu terjadi dalam dua bagian. Pertama, target menandatangani kontrak parsial, dengan otorisasi dan sebagian besar dibiarkan kosong.
Baca juga: Sebagian Besar Transaksi di Pasar NFT Ini Dihentikan, Ada Apa?
Dengan tanda tangan itu, penyerang atau hacker menyelesaikan kontrak dengan perintah ke kontak mereka sendiri, yang mengalihkan kepemilikan NFT tanpa pembayaran. Intinya, target serangan itu hanya menandatangani cek kosong. Setelahnya, hacker mengisi sisa cek untuk mengambil kepemilikan mereka.
“Saya memeriksa setiap transaksi. Mereka semua memiliki tanda tangan yang sah dari para korban yang kehilangan NFT,” kata pengguna OpenSea yang dikenal sebagai Neso.
OpenSea sendiri merupakan salah satu marketplace penyedia NFT terbesar saat ini dengan nilai 13 miliar dolar AS atau Rp 186 triliun. Platform itu menyediakan opsi ke pengguna untuk mendaftar, mencari, dan menawarkan token tanpa perlu transaksi langsung dengan blockchain.
Sayangnya keberhasilan itu menghadapi tantangan masalah keamanan yang signifikan. Pasalnya kini, perusahaan perlu menghadapi beberapa serangan yang memanfaatkan kontrak lama atau ‘token beracun’ untuk mencuri NFT pengguna.
OpenSea saat itu sedang dalam proses memperbarui sistem kontraknya ketika serangan terjadi. Namun, perusahaan membantah kalau serangan itu berasal dari kontrak baru.
“Kami akan terus memberitahu kalian saat kami mempelajari lebih lanjut terkait serangan phising tersebut. Jika anda memiliki informasi spesifik yang berguna, silakan DM @opensea_support,” kata Finzer.