Waduh! NFT Senilai Rp 24,3 Miliar Dicuri dari Pengguna OpenSea

Sabtu (19/2) lalu ada ratusan NFT yang dicuri dari pengguna OpenSea, yang kemudian menyebabkan kepanikan massal di kalangan pengguna situs tersebut.

Menurut PeckShield, penyedia layanan keamanan blockchain, ada 254 token yang dicuri dalam serangan tersebut, termasuk token dari Decentraland dan Bored Ape Yacht Club.

Serangan tersebut terjadi pada antara pukul 5 sore sampai 8 pagi Eastern Time, yang menargetkan 32 pengguna. Molly White, pemilik blog Web3 is Going Great, memperkirakan nilai total token yang dicuri itu lebih dari USD 1,7 juta atau sekitar Rp 24,3 miliar.

Serangan ini diperkirakan mengeksploitasi fleksibilitas di Wyvern Protocol, yang merupakan standar open source yang dipakai di hampir semua smart contract NFT, termasuk di OpenSea.

Kurang lebih prosesnya seperti ini: pertama, pelaku menandatangani kontrak parsial, dengan otorisasi general dan sisanya dibiarkan kosong. Dengan tanda tangan tersebut, pelaku bisa melengkapi kontraknya dengan sebuah panggilan ke kontraknya sendiri, yang akan memindahkan kepemilikan NFT tanpa perlu melakukan pembayaran.

Pada dasarnya, korban dari serangan ini seperti menandatangani sebuah cek kosong, yang kemudian nilainya diisi sendiri oleh si pelaku untuk merampas kepemilikan tokennya.

"Saya mengecek semua transaksi. Semua mempunyai tanda tangan yang berlaku dari orang-orang yang kehilangan NFT, jadi semuanya mengklaim kalau mereka tidak terkena phishing," jelas seorang pengguna bernama Neso, seperti dikutip detikINET dari The Verge.

OpenSea adalah salah satu perusahan paling yang paling mentereng seiring dengan meningkatnya popularitas NFT, dengan nilai mencapai USD 13 miliar. OpenSea menghadirkan tampilan antarmuka sederhana untuk para penggunanya, di mana mereka bisa mencari dan menawar token tertentu tanpa perlu berinteraksi dengan blockchain.

Saat ini OpenSea tengah memperbarui sistem kontraknya, namun mereka menepis tudingan kalau serangan tersebut berasal dari kontrak barunya itu. Namun yang jelas, banyak informasi lebih detail dari serangan tersebut masih belum jelas, terutama metode yang dipakai pelaku untuk "memaksa" korban menandatangani kontraknya.

"Kami akan terus memberi informasi setelah kami bisa memahami penyebab asli dari serangan phishing ini," jelas CEO OpenSea Devin Finzer lewat Twitter.