Radartasik.com — Seiring naiknya pamor platform atau aplikasi yang memanfaatkan Non-fungible Token atau NFT, kini para penjahat siber mulai mengarahkan sasarannya kepada platform-platform yang menyediakan sarana jual beli aset digital tersebut.
Salah satu platform trading NFT yang saat ini tengah naik daun, yaitu OpenSea, baru-baru ini dilaporkan menjadi sasaran serangan atau pembobolan oleh hacker. Dikabarkan, aset digital senilai puluhan miliar rupiah milik sejumlah akun di platform NFT itu berhasil dicuri oleh para penjahat dunia maya tersebut.
Para penyerang disebut berhasil mencuri ratusan NFT dari pengguna marketplace populer, OpenSea. Dalam sebuah laporan oleh Molly White yang menjalankan blog Web3 is Going Great, disebutkan bahwa nilai token yang dicuri lebih dari USD 1,7 juta atau Rp 24,3 miliar.
Ada 254 token yang dicuri selama serangan termasuk token dari Decentraland dan Bored Ape Yacht Club. Ini diungkap juga oleh Spreadsheet, yang disusun layanan keamanan Blockchain PeckShield.
Adapun sebagian besar serangan terjadi antara 17.00 hingga 20.00 ET hari Sabtu (19/2) atau 05.00-08.00 WIB pada Minggu (20/02/2022) lalu.
Dikutip dari TheVerge, pencurian itu menargetkan total 32 pengguna. The Verge menyebut serangan hacker tersebut tampaknya mengeksploitasi fleksibilitas dalam Protokol Wyvern. Ini adalah standar sumber terbuka yang mendasari sebagian besar smart contract NFT, termasuk yang dibuat oleh platform OpenSea.
Dalam tautan yang diberikan CEO OpenSea Devin Finzer, serangan digambarkan dalam dua bagian. Korban menandatangani kontrak parsial dengan otorisasi umum dan sebagian besar dibiarkan kosong.
CEO OpenSea, Devin Finzer, mengatakan, perusahaannya tidak mengetahui ada email phishing baru-baru ini yang telah dikirim ke pengguna. Ia pun menilai yang harus disalahkan yaitu situs web penipuan tersebut.
Kerena kejadian ini, OpenSea telah merencanakan untuk merevisi smart contract (kode yang mengatur platform perdagangannya) dengan merilis kontrak baru pada Jumat pekan ini. Adapun kontrak yang ditingkatkan dimaksudkan untuk memastikan pendaftar lama yang tidak aktif di platform pada akhirnya akan kedaluwarsa.
Finzer mengatakan, serang ini terjadi karena korban menandatangani kontra parsial dengan otorisasi umum, dan tidak sadar sebagian besar isi kontrak dibiarkan kosong. Dengan tanda tangan korban, penyerang menyelesaikan kontrak tersebut dengan mengisi informasi ke kontrak mereka sendiri, dan mengalihkan kepemilikan NFT tanpa pembayaran.
Intinya, korban serangan telah menandatangani cek kosong dan setelah ditandatangani, penyerang mengisi sisa cek untuk mengambil kepemilikan NFT mereka (jpg/jawapos)