Jakarta, Dexpert.co.id – Penyerang berhasil mencuri ratusan Non-fungible Token (NFT) dari pengguna marketplace populer, OpenSea. Dalam sebuah laporan nilai token yang dicuri lebih dari US$1,7 juta atau Rp 24,3 miliar, ungkap Molly White yang menjalankan blog Web3 is Going Great.
Ada 254 token yang dicuri selama serangan termasuk token dari Decentraland dan Bored Ape Yacht Club. Ini diungkap oleh Spreadsheet, yang disusun layanan keamanan Blockchain PeckShield.
Sebagian besar serangan terjadi antara 17.00 hingga 20.00 ET hari Sabtu (19/2/2022) atau 05:00-08.00 WIB pada Minggu (20/2/2022). Pencurian itu menargetkan total 32 pengguna, seperti dikutip dari The Verge, Senin (21/2/2022).
The Verge menuliskan serangan nampaknya mengeksploitasi fleksibilitas dalam Protokol Wyvern. Ini adalah standar sumber terbuka yang mendasari sebagian besar smart contract NFT, termasuk yang dibuat di OpenSea.
Dalam tautan yang diberikan CEO OpenSea Devin Finzer, serangan digambarkan dalam dua bagian. Korban menandatangani kontrak parsial dengan otorisasi umum dan sebagian besar dibiar kosong.
Dengan tanda tangan di tempat, pelaku akan menyelesaikan kontrak dengan panggilan ke kontrak mereka sendiri. Bagian ini akan mengalihkan kepemilikan NFT tanpa pembayaran.
Saat serangan terjadi, OpenSea sedang berproses memperbarui sistem kontraknya. Perusahaan juga membantah serangan berasal dari kontrak baru.
Dalam Twitternya tak lama setelah kejadian, Devin Finzer mengatakan sejumlah temuannya. Dia mengatakan serangan tidak berasal dari situs web OpenSea, berbagai sistem daftarnya, atau email apapun dari perusahaan.
Laju serangan yang cepat menunjukkan sejumlah vektor serangan umum namun sejauh ini tidak ada link yang ditemukan.
“Kami akan terus mengabari Anda saat kami mempelajari lebih lanjut mengenai sifat sebenarnya serangan phishing tersebut. Jika Anda punya informasi spesifik yang bisa berguna, silahkan DM @opensea_support,” jelasnya.
[Dexpert.co.id]
(npb/roy)
