Bug di OpenSea (marketplace NFT) dieksploitasi seorang hacker untuk mencuri dan mendapatkan cuan sampai IDR 11,5 miliar.
Adapun laporan kejadian ini di’bocorkan’ oleh Elliptic, perusahaan analitik blokchain.
Sudah ada 3 hacker yang eksploitasi bug di OpenSea
Dalam laporan yang diunggah pada Senin (24 Januari), Elliptic melaporkan bahwa sudah ada tiga hacker yang berhasil mengeskploitasi bug di OpenSea.
Disebutkan bahwa para hacker membeli NFT di bawah harga pasar dan kemudian menjualnya berlipat kali ganda.
Secara total, ketiga hacker itu berhasil meraup profit sampai 1 juta US Dollar dari aksi ‘pencurian’ tersebut.
Salah satu hacker dengan nama samaran “jpegdegenlove”, disebut membeli 7 NFT seharga IDR 1,9 miliar dengan mata uang Eth. Dia kemudian langsung menjual NFT tersebut seharga IDR 13,4 miliar dan berhasil meraup untung sampai 801 ribu US Dollar.
Sayangnya, upaya pelacakan aliran tersebut tidak memungkinkan karena dia menggunakan Tornado Cash – layanan untuk memblokir pelacakan blockchain terhadap aliran dana.
Koleksi Bored Ape Yatch Club dan Mutant Ape Yacht Club juga kena imbas
Sementara itu hacker lain memanfaatkan bug untuk mencuri salah satu koleksi NFT terpopuler – Bored Ape Yacht Club dengan harga 0,77 Eth. Sekitar 20 menit kemudian, dia menjualnya dengan harga 84,2 Eth atau setara IDR 3 miliar.
Adapun hacker ketiga memilih membeli NFT Mutant Ape Yatch Club seharga 10.600 US Dollar dan dijual lagi dengan harga 34.800 US Dollar.
Untuk diketahui, harga NFT di OpenSea biasa ditentukan oleh para penjual dalam harga yang tertera di web. Ketika pembeli sepakata, NFT akan otomatis ditransfer ke pembeli.
Para penjual sendiri dapat mengubah harga, namun mereka harus membayarkan gas fee. Ketika harga diubah, daftar harga sebelumnya tidak lagi dapat terlihat.
Follow our coverage, as hackers exploit a bug to steal $1 million in NFTs from users of the OpenSea NFT marketplacehttps://t.co/r1v8btf2bP
— elliptic (@elliptic) January 24, 2022
Permasalahannya, ternyata daftar itu tidak benar-benar terhapus. Dalam hal ini, harga masih tersimpan dan bisa dijebol oleh hacker lewat API OpenSea
“Eksploitasi tampaknya berasal dari kemampuan untuk mendaftarkan ulang NFT dengan harga baru, tanpa membatalkan daftar (harga) sebelumnya. Daftar sebelumnya tersebut sekarang digunakan untuk membeli NFT dengan harga yang ditentukan di beberapa titik di masa lalu — yang seringkali jauh di bawah harga pasar saat ini,” jelas Elliptic dalam laporannya.
Bug ini sendiri sebenarnya sudah dilaporkan beberapa waktu lalu. Namun sepertinya hacker baru memanfaatkan bug itu secara masif pada Senin (24 Januari).
Terkait kejadian ini, OpenSea belum angkat suara.