Para pengguna OpenSea sedang kelimpungan menghadapi serangan phishing yang mengakibatkan sejumlah NFT bernilai jutaan dicuri dari koleksi mereka.
Belum diketahui pasti metode peretasannya, tapi pasar NFT terbesar itu telah memasang papan peringatan merah pada situsnya yang menyatakan, “Kami masih menyelidiki desas-desus serangan yang terkait dengan kontrak pintar OpenSea. Serangan phishing ini tampaknya berasal dari luar situs OpenSea. Jangan klik tautan di luar opensea.io.”
Saat ini, OpenSea mewajibkan para pengguna meningkatkan kontrak pintar mereka guna menyingkirkan NFT tidak aktif. Namun, peretas menjadikannya kesempatan untuk merampas koleksi NFT berharga di OpenSea dengan harga murah. Beberapa kolektor NFT terkemuka menduga ada peretas yang sengaja membuat laman palsu hingga mirip kontrak pintar milik platform.
OpenSea belum menanggapi permintaan Motherboard, situs seputar teknologi bagian dari VICE, untuk berkomentar.
Riwayat transaksi blockchain menunjukkan peretas berhasil memindahkan koleksi NFT banyak pengguna ke alamat mereka secara cuma-cuma. Dua token populer yang dicuri di antaranya Bored Ape Yacht Club dan Mutant Ape Yacht Club.
Peretas telah menjual beberapa koleksi curian tersebut, termasuk NFT dari koleksi Azuki yang dibanderol 13,4 ETH (setara Rp521 juta). Dompet peretas bernilai lebih dari 600 ETH, atau hampir Rp28 miliar.
Ada indikasi peretas telah mengembalikan beberapa koleksi curian. Contohnya, seorang pengguna yang banyak koleksi NFT-nya dicuri telah mendapatkan kembali semua tokennya, kecuali BAYC yang saat ini dibekukan di OpenSea. Laman peretas di OpenSea tidak dapat diakses.
Pakar keamanan siber Dan Guido, melalui pernyataan di akun Twitternya, menyebut tak banyak yang dapat dilakukan platform untuk menangani masalah ini. “Karena keamanan platform web3 bergantung sepenuhnya pada dompet, yang mana UX keamanannya sangat buruk secara universal,” ujar Guido. Namun, dia menambahkan, setidaknya publik masih bisa melihat koleksi NFT apa saja yang dicuri.