OpenSea Beberkan Serangan Hacker yang Bobol Ratusan NFT

Chief Technical Officer (CTO) OpenSea, Nadav Hollander, memaparkan hasil penyelidikannya dalam kasus serangan phishing yang terjadi di marketplace (Non Fungible Token) NFT terbesar itu.

Sebelumnya, ratusan NFT dari 32 pengguna OpenSea dilaporkan berhasil dicuri dalam sebuah serangan yang terjadi pada Minggu (20/1). Serangan tersebut diperkirakan menimbulkan kerugian sebesar US$1,7 juta atau sekitar Rp24,42 miliar.

Dalam sebuah thread di laman Twitter pada Senin (21/2), Hollander menjelaskan temuan OpenSea setelah mengulas transaksi yang dilakukan penjahat.

Hollander menemukan adanya tanda tangan asli pengguna untuk pengesahan transaksi yang berhasil didapat hacker dari serangan phishing. Temuan ini menunjukkan bahwa pengguna melakukan tanda tangan di suatu tempat dan di suatu waktu.

Kemudian temuan OpenSea juga menunjukkan bahwa transaksi yang dilakukan dieksekusi di kontrak versi lama, bukan di kontrak baru (Wyvern 2.3) yang saat ini tengah dikembangkan OpenSea. Temuan ini menandakan bahwa serangan phishing tidak ada kaitannya dengan proses migrasi kontrak yang sedang berlangsung di OpenSea.

"Informasi ini, ditambah dengan diskusi kami dengan pengguna yang terkena dampak dan penyelidikan oleh pakar keamanan, menunjukkan operasi phishing yang dilakukan sebelum penghentian kontrak 2.2 mengingat pembatalan yang akan datang dari transaksi jahat yang dikumpulkan ini," kata Hollander dalam cuitannya.

[Gambas:Twitter]

Lebih lanjut, Hollander menjelaskan alasannya menerapkan EIP-712 pada sistem kontrak baru di OpenSea. Menurutnya, fitur data yang dibuat dalam format EIP-712 mempersulit aktor jahat mengelabui seseorang agar menandatangani sesuatu tanpa menyadarinya.

Misalnya, jika pengguna menandatangani pesan untuk bergabung dengan whitelist, undian, atau grup discord dengan token-gated dan pengguna disajikan muatan data yang merujuk ke Wyvern (protokol yang digunakan oleh OpenSea), kemungkinan besar akan ada peringatan untuk sesuatu yang tidak biasa terjadi.

Hollander mengatakan edukasi untuk tidak menyebarkan seed phrase (serangkaian kata yang digunakan untuk mengakses dompet kripto) dan tidak melakukan transaksi yang tidak diketahui sudah cukup baik di platformnya. Dan hal yang sama harusnya diterapkan pada penandatanganan pesan off-chain.