Serangan Phishing di Duga Terjadi Karena Mengeksploitasi Fleksibilitas Protokol Wyvern
Phishing adalah upaya menggunakan situs web palsu untuk menipu calon korban. Situs web phishing akan terlihat mirip dengan situs resmi dan menggunakan nama domain yang mirip.
Ratusan non-fungible-token (NFT) dilaporkan dicuri dari pengguna OpenSea dalam serangan phishing pada Sabtu, 19 Februari 2022.
Menurut sebuah dokumen yang dikutip oleh The Verge pada hari Senin, 21 Februari 2022, 254 token, termasuk yang berasal dari Decentraland dan Bored Ape Yacht Club, dicuri selama serangan itu, menurut dokumen yang disusun oleh PeckShield Block Chain Security Service.
Sebagian besar serangan phishing terjadi antara pukul 17:00 dan 20:00 waktu Timur, menargetkan total 32 pengguna. Molly White, yang menjalankan blog “Web3 is Going Great”, memperkirakan token yang dicuri bernilai lebih dari $1,7 juta.
CEO OpenSea Devin Finzer mengatakan hal yang sama melalui akun Twitter-nya. Dia membantah rumor bahwa peretasan itu menelan biaya $ 200 juta. Dia mengatakan penyerang memiliki Ethereum senilai $ 1,7 juta di dompetnya dari penjualan NFT curian.
“Kami menduga serangan itu tidak terkait dengan situs OpenSea. Sejauh ini, 32 pengguna tampaknya telah menandatangani data berbahaya dari penyerang dan beberapa NFT mereka telah dicuri, ”kata Finzer.
Dia mengatakan serangan itu sekarang tampaknya tidak aktif dan tidak melihat aktivitas berbahaya dari akun penyerang dalam dua jam. Finzer mengatakan beberapa NFT opensea telah dikembalikan.
Serangan itu tampaknya telah memanfaatkan fleksibilitas protokol Wyvern, standar open source yang menopang sebagian besar kontrak pintar NFT, termasuk yang berbasis dan di bikin di OpenSea.
Seorang pengguna bernama Neso menjelaskan di Twitter bahwa serangan itu terjadi setelah target menandatangani kontrak parsial atau cek kosong. Dengan tanda tangan ini, penyerang dapat mentransfer kepemilikan NDP tanpa pembayaran. Finzer pun membagikan penjelasan yang diterimanya dari Neso di Twitter.
NDP sendiri adalah token digital yang berfungsi sebagai sertifikat keaslian yang menunjukkan kepemilikan. Alat NDP dapat bervariasi dari ilustrasi hingga koleksi.
OpenSea telah menjadi salah satu perusahaan paling populer di pasar NFT. OpenSea menyediakan antarmuka yang sederhana bagi pengguna mulai dari mendaftar, menjelajah hingga menawarkan token tanpa harus berinteraksi langsung dengan blockchain.
Pada saat serangan, sistem kontrak OpenSea sedang diperbarui. Namun, OpenSea membantah bahwa serangan itu berasal dari kontrak baru.
Sumber: tempo.co
