JawaPos.com – Seiring Non-fungible Token atau NFT yang sedang jadi perbincangan, mata para penjahat siber kini tertuju pada platform-platform yang menyediakan sarana jual beli aset digital tersebut. Salah satu yang sedang naik daun adalah OpenSea, platform trading NFT yang belakangan jadi buah bibir masyarakat termasuk di Tanah Air karena kisah viral Ghozali Everyday beberapa waktu lalu.
Terkait OpenSea, platform tersebut baru-baru ini dilaporkan tengah menjadi sasaran hacker. Aset digital senilai puluhan miliar Rupiah dikabarkan telah raih digondol para penjahat dunia maya yang menarget platform tersebut.
Para penyerang disebut berhasil mencuri ratusan NFT dari pengguna marketplace populer, OpenSea. Dalam sebuah laporan oleh Molly White yang menjalankan blog Web3 is Going Great, disebutkan bahwa nilai token yang dicuri lebih dari USD 1,7 juta atau Rp 24,3 miliar.
Ada 254 token yang dicuri selama serangan termasuk token dari Decentraland dan Bored Ape Yacht Club. Ini diungkap juga oleh Spreadsheet, yang disusun layanan keamanan Blockchain PeckShield.
Adapun sebagian besar serangan terjadi antara 17.00 hingga 20.00 ET hari Sabtu (19/2) atau 05.00-08.00 WIB pada Minggu (20/2) lalu. Dikutip dari TheVerge, pencurian itu menargetkan total 32 pengguna.
The Verge melaporkan bahwa serangan tampaknya mengeksploitasi fleksibilitas dalam Protokol Wyvern. Ini adalah standar sumber terbuka yang mendasari sebagian besar smart contract NFT, termasuk yang dibuat oleh platform OpenSea.
Dalam tautan yang diberikan CEO OpenSea Devin Finzer, serangan digambarkan dalam dua bagian. Korban menandatangani kontrak parsial dengan otorisasi umum dan sebagian besar dibiarkan kosong.
CEO OpenSea, Devin Finzer, mengatakan, perusahaannya tidak mengetahui ada email phishing baru-baru ini yang telah dikirim ke pengguna. Ia pun menilai yang harus disalahkan yaitu situs web penipuan tersebut.
Kerena kejadian ini, OpenSea telah merencanakan untuk merevisi smart contract (kode yang mengatur platform perdagangannya) dengan merilis kontrak baru pada Jumat pekan ini. Adapun kontrak yang ditingkatkan dimaksudkan untuk memastikan pendaftar lama yang tidak aktif di platform pada akhirnya akan kedaluwarsa.
Finzer mengatakan, serang ini terjadi karena korban menandatangani kontra parsial dengan otorisasi umum, dan tidak sadar sebagian besar isi kontrak dibiarkan kosong. Dengan tanda tangan korban, penyerang menyelesaikan kontrak tersebut dengan mengisi informasi ke kontrak mereka sendiri, dan mengalihkan kepemilikan NFT tanpa pembayaran.
Intinya, korban serangan telah menandatangani cek kosong dan setelah ditandatangani, penyerang mengisi sisa cek untuk mengambil kepemilikan NFT mereka.