Rp24,3 Miliar NFT Raib Akibat Serangan Phising Di OpenSea

JAKARTA – Sebanyak 254 NFT (non-fungible token) dari puluhan pengguna OpenSea dilaporkan dicuri akibat serangan phishing. 

Total kerugian akibat pencurian tersebut mencapai angka US$1,7 juta atau sekitar Rp24,3 miliar menurut perkiraan Molly White yang menjalankan blog Web3 is Going Great.
 
Sebagian besar pencurian tersebut terjadi antara pukul 17.00 dan 20.00 ET (waktu pantai timur Amerika Serikat) akhir pekan ini. Dari total 32 korbannya terdapat nama-nama besar di dunia NFT, seperti Decentraland, Azuki collections dan Bored Ape Yacht Club.

Dalam laporan The Verge, serangan phising tersebut kemungkinan terjadi dengan memanfaatkan fleksibilitas dalam Protokol Wyvern, yakni standar sumber terbuka yang mendasari sebagian besar 'kontrak pintar' NFT, termasuk yang dibuat di OpenSea.

CEO Devin Finzer OpenSea juga sempat memberikan penjelasannya melalui thread di Twitter pribadi miliknya, Minggu (20/2). 

Menurutnya, OpenSea bukanlah vektor untuk serangan tersebut, dan tidak juga ditemukan bahwa seseorang telah berhasil mengeksploitasi celah yang mungkin dimanfaatkan dalam fitur pencetakan, pembelian, penjualan, dan daftar NFT platform.
 
"Interaksi dengan email OpenSea bukanlah vektor serangan. Faktanya, kami tidak mengetahui adanya pengguna yang terpengaruh yang menerima atau mengklik tautan dalam email yang mencurigakan," tulisnya di Twitter.

Sempat beredar rumor bahwa peretasan dan pencurian itu mencapai nilai hingga US$200 juta. Namun dalam cuitan Finzer menepis hal tersebut. Ia menjelaskan bahwa sang peretas memiliki Ethereum (ETH) senilai US$1,7 juta (sekitar Rp24,3 miliar) hasil menjual NFT yang dicurinya.

Lebih lanjut dia menggambarkan bahwa kemungkinan besar serangan phising terjadi dalam dua bagian. 

Pertama, terjadi karena target atau korban telah menandatangani kontrak parsial, dengan otorisasi umum dan sebagian besar dibiarkan kosong. 

Setelah kontrak diyakini telah selesai dengan benar oleh si korban, pelaku baru mengisi kontrak tersebut dengan mengalihkan kepemilikan NFT ke mereka sendiri tanpa pembayaran. 

Intinya, target serangan telah menandatangani cek kosong, dan setelah ditandatangani, penyerang mengisi sisa cek untuk mengambil kepemilikan mereka.

Serangan phising ini cukup menarik perhatian karena terjadi di salah satu platform jual beli NFT yang sedang naik daun seperti OpenSea.

Dengan nilai pasar US$ 13 miliar dalam putaran pendanaan baru-baru ini, OpenSea telah menjadi salah satu perusahaan paling berharga dari ledakan NFT, termasuk di Indonesia berkat kemunculan NFT Ghozali Everyday.
 
Serangan phising ini sendiri terjadi saat OpenSea sedang dalam proses memperbarui sistem kontrak pintar di platform jual belinya. Meski mereka menampik bahwa serangan itu terjadi karena adanya proses migrasi ke kontrak baru tersebut. Karena jika itu terjadi, kemungkinan besar pelaku akan mengeksploitasi besar-besaran, dan jumlah korban akan lebih dari 32 nama.

Namun, memang banyak detail serangan yang masih belum jelas, terutama terkait metode yang digunakan penyerang untuk mendapatkan target yang kelak mau menandatangani kontrak setengah kosong.

"Kami akan terus mengabari Anda saat kami mempelajari lebih lanjut tentang dasar sebenarnya dari serangan phishing tersebut. Jika Anda memiliki informasi spesifik yang dapat berguna, silakan DM @opensea_support," terang Finzer meyakinkan pengguna OpenSea.