Jakarta, FORTUNE – OpenSea, platform jual-beli NFT terbesar dunia, ditengarai terkena serangan phishing atau tindakan penipuan via email untuk mengeduk informasi pribadi. Dampak dari kasus tersebut ditaksir bernilai US$1,7 juta atau nyaris Rp25 miliar.
Pada Sabtu (21/2) sore, peretas atau sekumpulan peretas menyerang 32 akun, dan berhasil meraup 254 token, menurut spreadsheet yang dianalisis oleh layanan keamanan blockchain PeckShield.
Di antara NFT yang dicuri tersebut adalah token dari Bored Ape Yacht Club dan koleksi Azuki. Dalam perkara ini, diperkirakan NFT yang berhasil dicuri mencapai 641 Ethereum atau senilai US$1,7 juta.
“Kami yakin bahwa ini adalah serangan phishing,” kata Devin Finzer, pendiri dan Chief Executive Officer (CEO) OpenSea, dalam cuitannya di Twiiter seperti dikutip dari laman engadget, Minggu (20/2).
Namun, menurut Finzer, OpenSea menemukan bahwa situs webnya bukanlah ruang perantara untuk serangan itu. Ditambah lagi, seseorang juga tidak mengeksploitasi kerentanan yang sebelumnya tidak diketahui dalam fitur platformnya, seperti pencetakan (minting) NFT, pembelian, penjualan, dan listing.
Serangan terhadap pengguna
Tampaknya, 32 pengguna tersebut telah menandatangani sebuah muatan berbahaya dari penyerang, dan sebagai akibatnya, beberapa NFT mereka dicuri, kata Finzer.
Dengan kata lain, pengguna mungkin telah menerima email yang kelihatan resmi sebagai upaya akal-akalan untuk untuk memindahkan NFT mereka ke dompet orang lain, demikian laman Decrypt.
Finzer mendesak pengguna untuk memastikan agar mereka selalu menggunakan situs resmi opensea.io, dan waspada terhadap email mencurigakan.
OpenSea saat ini merupakan salah satu perusahaan yang paling berharga berkat tren NFT. Usai putaran pendanaan baru-baru ini, platform tersebut bernilai US$13 miliar atau lebih dari Rp185 triliun, begitu lansiran The Verge.
Pada saat bersamaan, OpenSea sedang dalam proses memperbarui sistem kontraknya. Meski demikian, OpenSea membantah bahwa serangan itu berasal dari kontrak baru.
Saran untuk menghindari serangan phishing
Sementara itu, akun Twitter Treasure Seeker (@treasureETH) menulis cuitan yang berisi saran tentang bagaimana menghindari serangan phishing lebih-lebih yang memanfaatkan tanda tangan. Cuitan ini mendapat respons 283 retweet, 35 quote tweets, dan 771 likes, Senin (21/2) pagi.
Hindari tanda tangan gelap (blind signatures)
Jika ada situs web yang meminta pengguna untuk menandatangani kode hex (dimulai dengan 0x), sebaiknya dihindari.
Peretasan di baru-baru ini melalui kontrak Opensea Wyvern Exchange v1 menggunakan tanda tangan gelap, yang menurutnya sangat mudah untuk phishing, karena tanda tangan pengguna tidak dapat dibaca.
Lebih baik tanda tangan EIP 712 dan baca sepenuhnya sebelum menandatangani
Kontrak Opensea baru dan kontrak LooksRare mendukung tanda tangan EIP 712. Tanda tangan ini menampilkan informasi yang berguna tentang apa yang Anda tanda tangani.
Dalam tanda tangan ini, Anda dapat melihat harga, ID token, dan koleksi
Pesan teks juga bisa ditandatangani
Sejumlah situs web memerlukan penandatanganan pesan teks. Ini biasanya merupakan mekanisme untuk masuk atau menerima beberapa persyaratan, dan tanda tangan ini umumnya tidak digunakan secara on-chain (transaksi yang dicatat dalam jaringan blockhchain).
Pengguna harus selalu membacanya sebelum menandatangani. Namun, metode tersebut "berisiko rendah".
Selalu curigai tanda tangan
Satu tanda tangan menyebabkan serangan yang dapat menghapus tidak hanya satu tetapi beberapa NFT pengguna. Jadi, pengguna harus selalu kritis terhadap tanda tangan. Jika mereka berada di situs web yang tidak pengguna percayai, maka sebaiknya jangan masuk.