Channel9.id-Jakarta. Salah satu marketplalce NFT terbesar di dunia, OpenSea, sedang menyelidiki serangan phishing yang menimpa platformnya. Serangan ini menyebabkan lebih dari dua lusin penggunanya tak bisa mengakses sejumlah aset digital mereka. Pada Sabtu (19/2) malam, terjadilah pencurian ratusan NFT yang membuat pengguna panik.
Penyerang menargetkan 32 akun dan berhasil mencuri 254 token, menurut spreadsheet yang disusun oleh layanan keamanan Blockchain PeckShield, dikutip dari Engagdet (21/2). Adapun NFT yang dicuri termasuk token dari Bored Ape Yacht Club dan koleksi Azuki. Molly White, kreator blog “Web3 is Going Great”, memprediksi bahwa hasil curian itu mencapai 641 Ethereum (sekitar $1,7 juta atau Rp24,3 miliar pada saat artikel ini dibuat).
“Kami yakin bahwa ini adalah serangan phishing,” ujar Devin Finzer, salah satu pendiri dan CEO OpenSea, melalui tweet-nya pada Minggu (20/2) pagi. “Kami tidak tahu di mana phishing terjadi, tetapi kami bisa mengesampingkan sejumlah hal setelah bercakap dengan 32 pengguna yang terdampak.”
Menurut Finzer, OpenSea mengatakan bahwa situsnya bukanlah vektor untuk serangan itu. Ia menambahkan bahwa seseorang tak akan mengeksploitasi kerentanan yang tak diketahuinya, dalam fitur pencetakan, pembelian, penjualan, dan daftar NFT platform.
“Interaksi dengan email OpenSea bukanlah vektor serangan,” kata Finzer. “Faktanya, kami tidak mengetahui adanya pengguna yang terdampak yang menerima atau mengklik tautan dalam email yang mencurigakan.”
The Verge mencatat bahwa serangan itu kemungkinan mengambil keuntungan dari aspek Protokol Wyvern. Banyak platform Web3, termasuk OpenSea, menggunakan standar sumber terbuka itu untuk mendukung kontrak mereka. Mereka yang jadi target phishing mungkin telah menandatangani perjanjian parsial yang memungkinkan penyerang mentransfer NFT tanpa memindahtangankan Ethereum. Skenario ini, kata Finzer, yang dipahami oleh pihak internal terkait situasi tersebut.
OpenSea memang tampaknya kerap dirundung berbagai masalah belakangan ini. Pada Jumat (18/2) lalu, perusahaan memperkenalkan “new smart contract” dan meminta orang untuk memigrasikan aset mereka. Ini juga menjadi subyek kontroversi, pertama ketika seorang karyawan mengundurkan diri karena menggunakan informasi internal untuk mendapat keuntungan dari penurunan NFT, dan maraknya token palsu, jiplakan, atau spam di platformnya.
(LH)
