Bos OpenSea, Devin Finzer mengatakan, bahwa peretas telah mengantongi kripto ETH senilai US$1,7 juta, hasil penjualan ratusan NFT curian lewat modus phishing. NFT itu diterbitkan lewat OpenSea.
“Rumor yang menyebutkan bahwa peretasan hari ini yang menyebabkan kripto senilai US$200 juta, adalah tidak benar. Yang benar adalah, peretas memiliki US$1,7 juta ETH di dompetnya dari penjualan beberapa NFT yang dicuri,” kata Finzer di Twitter, Minggu (20/2/2022).
Importantly, rumors that this was a $200 million hack are false. The attacker has $1.7 million of ETH in his wallet from selling some of the stolen NFTs.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Omongan Finzer terkait merebaknya kabar mulai pagi tadi, bahwa sejumlah pengguna OpenSea mengakui bahwa beberapa NFT mereka hilang dicuri.
Tak lama berselang, perusahaan keamanan siber Peckshield mengatakan di Twitter, bahwa aksi phishing terhadap pengguna OpenSea lewat e-mail memang benar ada. Akibatnya sejumlah NFT sudah berpindah tangan.
Though unconfirmed, the @opensea hack is most likely phishing. Users authorize the "migration" as instructed in the phishing email and the authorization unfortunately allows the hacker to steal the valuable NFTs… pic.twitter.com/Fj5d9ImC2r
— PeckShield Inc. (@peckshield) February 20, 2022
Pihak OpenSea pun akhirnya memastikan benar ada aksi phishing yang menargetkan peggunanya.
“Kami secara aktif menyelidiki rumor eksploitasi yang terkait dengan smart contract terkait OpenSea. Ini tampaknya merupakan serangan phishing yang berasal dari luar situs web OpenSea. Jangan klik tautan palsu yang dikait-kaitkan dengan OpenSea,” sebut perusahaan itu.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
Peckshield pun menerbitkan daftar khusus NFT hasil curian lewat peretasan itu, di antaranya adalah Bored Ape Yacht Club (BAYC), Azuki, Farm Land by Pixels, dan banyak lagi.
Peretasan ini terjadi beberapa hari setelah pihak OpenSea melakukan pembaruan smart contract di platform-nya.
Peretas tampaknya menggunakan celah dengan menerbitkan smart contract pada 30 hari lalu, yang diterapkan khusus lewat modus phising itu.
The new contract is live! Start migrating your listings now: https://t.co/W1w9ciCK2D
— OpenSea (@opensea) February 18, 2022
Aksi phishing lazimnya adalah modus oleh peretas dengan cara mengirimkan e-mail palsu kepada sasarannya.
E-mail itu dibuat seolah-olah berasal dari perusahaan resmi. Setelah yang disasar mengklik tautan di dalamnya, itu akan mengarahkan ke situs berbeda ataupun script yang bisa mencuri akses ke dompet kripto yang digunakan.
Patut dicatat, bahwa pengguna menggunakan dompet kripto Metamask untuk mengakses OpenSea. Password dan private key sepenuhnya dikendalikan oleh pengguna.
Peretas Bisa Akses Metamask
Sebelumnya, Alexandru Lupascu, seorang pengembang blockchain-kripto di OMNIA mengatakan Metamask, dompet kripto terpopular dengan lebih dari 21 juta pengguna, ternyata ada celah keamanannya, terkait pengiriman NFT.
Suka NFT Gratisan? Waspadai Peretas Bisa Masuk Lewat Dompet Kripto Metamask
Pengguna berpotensi terkuak privasinya, jika peretas mengirimkan NFT. Pihak pengembang aplikasi sudah mengetahuinya sejak lama, tapi belum melakukan langkah nyata.
Menurut Lupascu, modus yang dapat digunakan oleh peretas adalah dengan mengirimkan NFT (non-fungible token) apa saja ke wallet pengguna di Metamask. Sebelum melakukan itu, peretas mengubah terlebih dahulu data URL (uniform resources locator) file digital yang dirujuk oleh kode program di token itu.
Nilai Total Pasar NFT Mencapai US$41 Miliar
Nilai pasar NFT memang sangat fantastis. Setelah mengalami pertumbuhan besar-besaran pada tahun 2021, nilainya US$13,3 miliar pada awal Januari 2022. Menurut perusahaan keamanan siber Chainalysis, nilai total pasar NFT kini telah melampaui US$41 miliar, karena banyak selebritas dunia dan perusahaan besar mengikuti tren tersebut, seperti Visa, Samsung, Dolce&Gabbana dan lain sebagainya. [ps]