Mencuri kripto dengan NFT? NFT (Non-Fungible Token) merupakan aset digital yang menghubungkan pemilik dengan item atau objek di dunia nyata seperti seni, musik, video, dan lain-lain.
Meskipun NFT berjalan dengan teknologi blockhain yang sama dengan mata uang kripto, NFT tidak dapat dinyatakan sebagai uang. NFT sangat spekulatif dan biasanya dijual dengan harga mencapai jutaan.
Baca juga Pendiri Nickelodeon dan RECUR Saling Melirik untuk Kerja Sama Pasar NFT
Mulai dari meme populer hingga kartun piksel, popularitas NFT sangat meroket belakangan ini. Namun sayang, jejak kepopuleran mereka tidak terbebas dari serangan eksploitasi.
Laporan Check Point Research (CPR) pada Rabu lalu mengungkapkan peretasan akun pengguna di marketplace NFT milik OpenSea. Adanya keteledoran dan kebocoran pada protokol NFT menyebabkan terjadinya pembobolan semua dompet kripto pengguna dan mentransfer aset tersebut ke NFT berbahaya.
Sumber masalah bukan hanya berasal dari NFT dan Airdrop. Ada sumber masalah lainnya ialah para peretas mengirim notifikasi langsung ke calon korban. Ketika merilis NFT ke korban, mereka akan melihat pesan notifikasi tersebut. Setelah itu, notifikasi baru yang meminta teken untuk dihubungkan ke dompet digital milik korban. Permintaan teken sekunder akan muncul setelahnya. Jika si korban memerimanya, peretas akan mendapat akses dompet digital dan pundi mereka. Kemungkinan besar korban tidak tahu bahwa aset miliknya sudah diretas.
Untuk situasi OpenSea, kesalahan pada sistem keamanan mereka mendorong tim protokol mereka untuk mengunggah file SVG yang berisi muatan berbahaya. Unggahan itu akan beroperasi dari subdomain penyimpanan OpenSea.
Mengomentari situasi tersebut, CPR menyampaikan ketika mengeklik gambar dari pihak ketiga, para pengguna akan diminta untuk menteken dengan dompet digital mereka. Disebutkan bahwa permintaan seperti itu tidak ada dalam sistem OpenSea. Tentu hal ini sangat berbeda dengan sistem pelayanan yang ditawarkan OpenSea, seperti membeli, memfavoritkan item, dan membuat penawaran.
Namun demikian, sebagain besar pengguna mungkin terpikat untuk menyetujuan permintaan dari notifikasi tersebut. Alasannya adalah para korban mengira notifikasi tersebut berasal langsung dari pihak OpenSea.
Pada 26 September lalu, tim CPR menemui kepada pihak OpenSea untuk memperlihatkan kebobolan akses jaringan mereka dan memutuskan untuk mengambil tindakan sigap. Tindakan tersebut dilakukan untuk memantau pergerakan marketplace dalam kurun waktu satu jam. Mereka memprioritaskan dan memverifikasi kelemahan keamanan dan mengajukan solusi.
OpenSea memasangkan pernyataan mereka ke publik dan menyampaikan apresiasi dari pihak mereka atas kerja sama tim CPR karena telah membantu menangani kebocoran data akibat NFT berbahaya. Selain itu, OpenSea menyerukan hasil upaya tim CPR saat bekerja sama mereka selama penyelidikan dan implementasi solusi yang berhasil dikerjakan dalam kurun waktu satu jam.
Selanjutnya, OpenSea memastikan bahwa serangan tersebut terjadi karena pengguna menyetujui permintaan notifikasi dari pihak ketiga yang berisi NFT berbahaya. Oleh karena itu, secara tidak sadar pengguna menautkan dompet digital mereka dan mengizikan transaksi oleh NFT berbahaya tersebut.
#NFT #OpenSea #CheckPointResearch #CPR
Sumber: http://bitcoinist.com/hackers-are-now-trying-to-steal-crypto-via-malicious-nfts/