OpenSea diserang hacker NFT pengguna dicuri lewat metode phising

Para pengguna OpenSea sedang kelimpungan menghadapi serangan phishing yang mengakibatkan sejumlah NFT bernilai jutaan dicuri dari koleksi mereka.

Belum diketahui pasti metode peretasannya, tapi pasar NFT terbesar itu telah memasang papan peringatan merah pada situsnya yang menyatakan, &#x201c;Kami masih menyelidiki desas-desus serangan yang terkait dengan kontrak pintar OpenSea. Serangan phishing ini tampaknya berasal dari luar situs OpenSea. Jangan klik tautan di luar opensea.io.&#x201d;

Saat ini, OpenSea mewajibkan para pengguna [meningkatkan kontrak pintar](https://twitter.com/opensea/status/1494782318619205636?) mereka guna [menyingkirkan](https://support.opensea.io/hc/en-us/articles/4433163594643-Smart-Contract-Upgrade-How-to-Migrate-Your-Item-Listings) [NFT tidak aktif](https://support.opensea.io/hc/en-us/articles/4415742560403-What-is-an-inactive-listing-). Namun, peretas menjadikannya kesempatan untuk [merampas koleksi NFT berharga](https://www.vice.com/en/article/epxm87/people-whose-nfts-were-stolen-are-getting-wildly-different-refunds-from-opensea) di OpenSea dengan harga murah. Beberapa kolektor NFT terkemuka menduga ada peretas yang sengaja membuat laman palsu hingga mirip kontrak pintar milik platform.

OpenSea belum menanggapi permintaan _Motherboard_, situs seputar teknologi bagian dari VICE, untuk berkomentar.

Hacker Curi Kripto Ethereum Setara Rp14 M lalu Dikembalikan sambil minta biaya jasa

<p>Pertengahan Januari 2022, seorang hacker meretas sebuah server blockchain Ethereum, lantas mencuri aset uang kripto sebanyak 63 Ethereum, nilainya setara US$1 juta (Rp14,3 miliar). Insiden itu akhirnya tuntas pada 19 Januari lalu, karena si peretas mengembalikan kripto curian tersebut. Masalahnya, dia tetap menyimpan sebagian Ethereum, dengan alasan itu biaya jasa karena doi sudah “mengamankan” aset milik korban.</p> <p>Si hacker mengaku sebagai “<a href="https://www.vice.com/en/article/mg79v4/hacking-glossary" target="_blank">White Hat</a>”, istilah dalam dunia keamanan siber di mana peretas tidak memiliki tujuan buruk. Namun, dalam keterangan tertulis yang ditinggalkan untuk korban pencurian, dia merasa perlu dapat jasa karena sudah mau mengembalikan Ethereum (yang doi juga malingnya). </p> <p>“Saya sudah mengembalikan 80 persen, sisanya adalah tip buat saya karena menyelamatkan aset kriptomu,” demikian keterangan si hacker. </p> <div class="article__embed article__embed--vice" data-related-article="true" data-children-count="0"><iframe src="https://www.vice.com/id_id/embed/article/n7bmxd/embed" frameborder="0" style="border:0px none;margin:0px" allowfullscreen></iframe></div> <p>Pencurian ini <a href="https://www.coindesk.com/business/2021/12/21/anyswap-rebrands-to-multichain-raises-60m-led-by-binance-labs/" target="_blank">menimpa Multichain</a>, salah satu platform pertukaran mata uang kripto yang ada di pasaran. Platform ini dulunya dikenal dengan nama Anyswap. Problem bermula di awal pekan ini, ketika manajemen Multichain <a href="https://medium.com/multichainorg/action-required-critical-vulnerability-for-six-tokens-6b3cbd22bfc0" target="_blank">mengumumkan lewat postingan blog</a> bahwa setiap pengguna disarankan tidak lagi memakai sistem pengamanan smart contract dengan enam nomor token yang biasa dipakai. Alasannya, ditemukan kelemahan sistem yang membuat akun pengguna bisa diretas. </p> <p>Postingan ini berujung masalah serius, karena beberapa peretas turut membacanya, dan langsung membuktikan lemahnya sistem pengamanan Multichain. </p> <p>Hingga 19 Januari, periset keamanan siber Tal Be’ery menaksir aset kripto senilai US$3 juta telah dicolong para peretas. Separuhnya dilakukan oleh si hacker yang diceritakan di awal artikel ini. Dia menggondol Ethereum dari berbagai akun sekaligus, tapi tak sampai 24 jam mengumumkan kalau akan mengembalikan aset kripto tersebut. </p> <p>Sempat terjadi <a href="https://twitter.com/TalBeerySec/status/1484056243446636544" target="_blank">negosiasi antara si peretas dengan para korban</a>, termasuk dengan perwakilan manajemen Multichain. Dari hasil negosiasi itulah, akhirnya si peretas mengembalikan Ethereum senilai US$800 ribu (setara Rp11 miliar). Transaksi itu sudah tercatat di Ethereum blockchain, menandakan si peretas menepati janjinya. </p> <p>“Ya sudah, terima kasih karena bersedia mengembalikan aset kripto saya,” tulis salah satu akun korban kepada si hacker <a href="https://t.co/wsGJKHuC7o" target="_blank">dalam kolom percakapan blockchain</a>. </p> <p>Si peretas mengklaim dia sekadar mengamankan uang kripto para pengguna Multichain dari tindakan peretas lain, dan sejak awal berniat mengembalikannya. Itu sebabnya dia merasa layak dapat tip. </p> <div class="article__embed article__embed--vice" data-related-article="true" data-children-count="0"><iframe src="https://www.vice.com/id_id/embed/article/jgmjqk/embed" frameborder="0" style="border:0px none;margin:0px" allowfullscreen></iframe></div> <p>“Kalau ada yang merasa uang tip jasa saya kebanyakan atau malah kurang, jangan ragu hubungi saya ya,” <a href="https://etherscan.io/tx/0x05a4b4cde7b889f9ca26876fe93e005250a5351f69aa8d77b061b415811ec990" target="_blank">tulis si hacker</a>. </p> <p>Multichain tidak merespons permintaan wawancara dari <i>Motherboard</i>, situs teknologi bagian dari VICE, terkait tindakan peretas tersebut. </p> <p>Peretas mencuri mata uang kripto untuk kemudian dikembalikan lagi ternyata sedang ngetren di dunia kripto. Tahun lalu, seorang peretas mencuri <a href="https://www.vice.com/en/article/wx5y7b/this-dollar600-million-crypto-heist-is-the-most-bizarre-hack-in-recent-memory" target="_blank">berbagai aset uang digital dari platform Poly Network senilai nyaris US$600 juta</a>. Manajemen Poly Network lantas mengirim pesan baik-baik di blockchain, memintanya agar mengembalikan kripto para pengguna. Perusahaan itu juga menjanjikan akan memberinya pekerjaan. Siapa sangka, hacker tersebut menuruti permintaan Poly Network dan <a href="https://www.vice.com/en/article/n7bmxd/poly-network-hacker-returned-stolen-funds" target="_blank">mengembalikan seluruh aset kripto tersebut</a>. </p>

vice

Hacker Curi Kripto Setara Rp14 M lalu Dikembalikan, Tapi Dipotong 'Biaya Jasa'

Peretasan

crypto

worldnews

Multichain

hackers

blockchain

Keamanan Siber

Mata Uang Kripto

ethereum

[Riwayat transaksi blockchain](https://etherscan.io/address/0x3e0defb880cd8e163bad68abe66437f99a7a8a74#tokentxnsErc721) menunjukkan peretas berhasil memindahkan koleksi NFT banyak pengguna ke alamat mereka secara cuma-cuma. Dua token populer yang dicuri di antaranya Bored Ape Yacht Club dan Mutant Ape Yacht Club.

Peretas telah menjual beberapa koleksi curian tersebut, termasuk [NFT dari koleksi Azuki](https://etherscan.io/tx/0x2102962680ce0e37febfd93584e91655e7a48bd39f36d4e6b9f2709cfc99c382) yang dibanderol 13,4 ETH (setara Rp521 juta). Dompet peretas bernilai lebih dari 600 ETH, atau hampir Rp28 miliar.

Ada indikasi peretas telah mengembalikan beberapa koleksi curian. Contohnya, seorang pengguna yang [banyak koleksi NFT-nya dicuri](https://etherscan.io/tx/0xfda9c6e092c791673e62e194d545d5c2edcb65c2a36e4a3c828eeafd6f15bf17) telah mendapatkan kembali [semua tokennya](https://etherscan.io/tx/0xa7596166d4ac9872dfbc58052016bc7e14c122da7d6bd2c54d56b11325aa8cdb), kecuali BAYC [yang saat ini dibekukan](https://opensea.io/assets/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d/1277) di OpenSea. Laman peretas di OpenSea tidak dapat diakses.

Pakar keamanan siber Dan Guido, melalui pernyataan di akun Twitternya, menyebut tak banyak yang dapat dilakukan platform untuk menangani masalah ini. &#x201c;Karena keamanan platform web3 bergantung sepenuhnya pada dompet, yang mana UX keamanannya sangat buruk secara universal,&#x201d; ujar Guido. Namun, dia menambahkan, setidaknya publik masih bisa melihat [koleksi NFT apa saja yang dicuri](https://twitter.com/dguido/status/1495222246486519810).

Peretas mengelabui pengguna OpenSea sebagai pasar NFT terbesar, lewat kontrak pintar yang ternyata phising

OpenSea Kelimpungan Diserang Hacker, Pengguna Geger Banyak Koleksi NFT Dicuri

Hacker Curi Kripto Setara Rp14 M lalu Dikembalikan, Tapi Dipotong 'Biaya Jasa'