OpenSea yang merupakan marketplace terbesar non-fungible token atau NFT dilaporkan mengalami serangan phishing dan menyebabkan ratusan token NFT dicuri dari pengguna yang mengklik tautan berbahaya. Upaya peretasan tersebut terjadi pada Minggu, 20 Februari 2022.
Terdapat total 254 token telah berhasil dicuri dalam serangan tersebut, termasuk sejumlah token dari Decentraland dan token populer Bored Ape Yacht Club (BAYC). Hal tersebut berdasarkan sebuah dokumen dari perusahaan keamanan blockchain PeckShield.
Rangkaian serangang hacker berlangsung pada pukul 05.00 hingga 08.00 WIB, dan menyasar total 32 pengguna. Molly White, yang menjalankan blog Web3 is Going Great memperkirakan nilai token yang dicuri mencapai lebih dari US$1,7 juta atau sekitar Rp24,42 miliar.
Dari serangan tersebut juga mengeksploitasi fleksibilitas Protokol Wyvern, standar sumber terbuka yang mendasari sebagian besar kontrak pintar NFT, termasuk yang dibuat di OpenSea.
Devin Finzer selaku CEO OpenSea mengutip sebuah thread di Twitter yang menggambarkan serangan dalam dua bagian. Pertama, target menandatangani kontrak parsial, dengan otorisasi dan sebagian besar dibiarkan kosong.
Keberhasilan dalam menyediakan antarmuka yang sederhana bagi pengguna untuk mendaftar, menelusuri, dan menawar token tanpa berinteraksi langsung dengan blockchain, membuat platform tersebut menghadapi tantangan masalah keamanan yang signifikan.
OpenSea kini sedang memperbarui sistem kontraknya agar kontrak lama atau kontrak beracun untuk mencuri kepemilikan pengguna tidak akan terjadi.
Penulis: Fadiasyah Putranto
