Ratusan NFT dicuri dari OpenSea
Marketplace non-fungible token (NFT) populer OpenSea baru-baru ini ‘kebobolan’ dan mengalami serangan dari hacker.
Karena serangan itu, ada ratusan token NFT yang dicuri dari pengguna. Melansir laporan CNBC, para hacker berhasil mencuri token bernilai lebih dari US$1,7 juta, atau sekitar Rp24,3 miliar.
Totalnya, 254 token raib dari pemiliknya selama penyerangan, termasuk token dari Decentraland dan Bored Ape Yacht Club.
Sebagian besar serangan terjadi antara pukul 17.00 hingga 20.00 ET pada Sabtu, 19 Februari 2022 atau 05.00 hingga 08.00 WIB hari Minggu.
Modus tanda tangan kontrak tanpa pembayaran
Modus yang hacker gunakan dalam aksi pencurian mereka adalah dengan mengeksploitasi fleksibilitas Protokol Wyvern.
Ini merupakan standar terbuka yang mendasari sebagian besar smart contract NFT, termasuk yang ada di OpenSea.
Menurut CEO OpenSea, Devin Finzer, serangan ini ia gambarkan dalam dua bagian. Korban menandatangani kontrak parsial dengan otorisasi umum, dan sebagian besar mereka biarkan kosong.
Dengan tanda tangan di tempat, pelaku menyelesaikan kontrak. Bagian ini bisa mengalihkan kepemilikan NFT tanpa ada pembayaran.
Intinya, target menandatangani cek kosong, dan hacker mengisi sisanya setelah itu. Sebanyak 32 pengguna pun jadi korbannya.
For more technical context, this thread (https://t.co/oHGgA3wLHP) is consistent with our current internal understanding.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Tanda tangan sah, OpenSea bantah gara-gara sistem kontrak baru
“Mereka semua memiliki tanda tangan yang sah dari orang-orang yang kehilangan NFT, sehingga siapapun yang mengklaim bahwa mereka kehilangan NFT alih-alih terkena phishing sayangnya salah,” ujar seorang pengguna kepada The Verge.
Sejatinya, platform OpenSea menyediakan antarmuka yang sederhana bagi pengguna untuk mendaftar, menelusuri, dan menawar token tanpa interaksi langsung dengan blockchain.
Namun, kemudahan itu datang bersama dengan masalah keamanan yang signifikan. Saat serangan terjadi, perusahaan tersebut tengah dalam proses pembaruan sistem kontrak.
Bagaimanapun, pihak perusahaan membantah bahwa serangan itu berasal dari kontrak baru.
Thoughts? Let us know!