Sebuah Bug di OpenSea Memungkinkan Peretas Beli NFT Harga Lama

Cyberthreat.id – Elliptic, perusahaan analisis blockchain untuk keahatan siber, siber, menemukan kelemahan (bug) pada platform lokapasar NFT terbesar di dunia, OpenSea.

Celah tersebut bisa dimanfaatkan oleh peretas untuk membeli setidaknya US$1 juta NFT di beberapa dompet yang berbeda di bawah harga pasar, kata perusahaan asal Inggris itu, dikutip dari ITNews, Selasa (25 Januari 2022).

Selain itu, kelemahan itu juga memungkinkan pengguna membeli NFT tertentu dengan harga masa lalu, tanpa pemilik menyadari bahwa file tersebut masih terjual.

NFT atau non-fungible token ialah sebuah bentuk aset kripto yang mencatat status kepemilikan file digital di jaringan blockchain; umumnya diperjualbelikan memakai mata uang kripto Ethereum (ETH).

OpenSea awal Januari lalu juga menjadi pembicaraan warganet Indonesia lantaran mahasiswa Udinus Semarang, Jawa Tengah, tiba-tiba menjadi miliarder karena file-file swafoto-nya yang dijual sebagai NFT di OpenSea laku keras. (Baca: Menjual NFT Foto Diri, Amankah untuk Diri Kita?)

OpenSea didirikan pada 2017 dan baru-baru ini valuasi perusahaannya bernilai US$13,3 miliar dalam putaran pendanaan ventura terbarunya.

Tom Robinson, co-founder Elliptic, mengatakan, kelemahan tersebut tampaknya berasal dari pendaftaran ulang NFT dengan harga baru, tapi tidak membatalkan daftar harga sebelumnya.

“Daftar lama itu yang sekarang digunakan untuk membeli NFT,” ujarnya.

"Kami melihat pengguna individu diretas dan NFT mereka dicuri, misalnya melalui serangan phishing, tetapi tidak umum untuk melihat sesuatu yang berpotensi mempengaruhi seluruh pasar," ia menambahkan.

Misalnya, NFT kera kartun dari koleksi Bored Ape Yacht Club, Bored Ape #9991, dibeli seharga 0,77 Ether (sekitar US$1747) pada Senin lalu meski faktanya NFT semacam itu biasanya menghasilkan ratusan ribu dolar.

Bored Ape Yacht Club adalah satu set 10.000 NFT kera kartun yang dibuat secara algoritma oleh perusahaan Yuga Labs yang berbasis di AS.

Sekitar 20 menit setelah Bored Ape #9991 dibeli seharga 0,77 Ether, lalu dijual seharga 84,2 Ether (sekitar US$189,040), menurut catatan blockchain yang terlihat di OpenSea—pembeli untung lebih dari US$187.000.

Pemilik asli NFT, yang mengidentifikasi diri mereka di Twitter sebagai "TBALLER.eth" (@T_BALLER6), men-tweet keterkejutan mereka atas transaksi tidak mereka otorisasi/setujui.

"Yooo guys! Entah apa yang baru saja terjadi kenapa keraku hanya dijual seharga 0,77?????"

"Saya tidak mencantumkan kera saya sama sekali .... Sekarang saya melihat DM itu dijual seharga 0,77?????? Wtf??????"

Robinson mengatakan bahwa dia telah mengidentifikasi delapan NFT yang dicuri dengan cara ini sejauh ini, dari delapan dompet berbeda, oleh tiga dompet penyerang.

Satu orang membayar total US$133.000 untuk tujuh NFT dengan mengeksploitasi bug, sebelum kemudian dengan cepat menjualnya seharga US$934.000, kata Robinson.

Dia mengatakan, meski dompet kripto biasanya anonim, penyerang dapat diidentifikasi jika mereka menggunakan pertukaran untuk menguangkan ke mata uang fiat (uang yang dikeluarkan bank sentral).[]