Inilah cara peretasan OpenSea NFT melukai pemilik, pembeli, dan bahkan seluruh koleksi

Pasar nonfungible token (NFT) telah berkembang pesat sejak musim panas 2021 dan karena harga NFT meroket, begitu pula jumlah peretasan yang menargetkan NFT. 

Peretasan profil tinggi terbaru menyedot sekitar 600 Ether (ETH ) senilai NFT dari Arthur0x, pendiri DeFiance Capital, yang kemudian dijual di OpenSea.

Laporan Kejahatan Kripto 2022 yang diterbitkan oleh Chainalysis menyoroti bahwa nilai yang dikirim ke pasar NFT oleh alamat terlarang melonjak secara signifikan pada tahun 2021, mencapai di bawah $1,4 juta. Ada juga peningkatan yang jelas dalam dana curian yang dikirim ke pasar NFT.

Mengingat peningkatan pesat dalam nilai terlarang yang mengalir ke platform NFT, wajar untuk bertanya apakah ada tindakan dan prosedur keamanan dan jika demikian, apakah tindakan ini efektif dalam melindungi pemilik.

Mari kita lihat OpenSea, platform NFT terbesar, dan langkah keamanannya.

Langkah-langkah keamanan di OpenSea tidak dapat melindungi pengguna

OpenSea memiliki dua langkah keamanan utama yang dimulai setelah akun "diretas" - mengunci akun yang disusupi dan memblokir NFT yang dicuri. Kedua ukuran ini sangat tidak efektif jika dilihat dari dekat.

Mengunci akun dapat dilakukan di situs web OpenSea tanpa persetujuan manusiaditampilkan di sini, sementara memblokir NFT melibatkan proses panjang untuk menaikkan tiket dan menunggu tim bantuan OpenSea merespons.

Dalam situasi di mana peretas telah menyusupi dompet dan sedang dalam proses mentransfer NFT, mengunci akun hanya akan efektif jika dilakukan  sebelum peretas mentransfer semuanya.

Demikian pula, memblokir NFT juga hanya efektif sebelum NFT dijual ke pembeli lain oleh peretas. Yang lebih buruk lagi adalah tindakan pengamanan ini menciptakan serangkaian korban tidak langsung yang berakhir dengan NFT yang diblokir yang tidak dapat dijual atau ditransfer. Ini karena waktu respons untuk tiket yang dinaikkan di OpenSea setidaknya satu hari. Pada saat NFT diblokir oleh OpenSea, NFT tersebut sudah dijual ke pembeli lain yang kini menjadi korban baru kejahatan tersebut.

Dalam kasus 17 Azuki yang dicuri dari Arthur0x, 15 dicuri dalam menit yang sama dan dua dicuri tiga menit kemudian. Waktu rata-rata NFT yang dicuri ini tetap berada di dompet peretas sebelum dijual adalah 43 menit. Langkah-langkah keamanan dari OpenSea sama sekali tidak responsif dan cukup cepat untuk memberi tahu korban dan menghentikan peretas; mereka juga tidak dapat segera memberi tahu pembeli untuk menghentikan mereka membeli NFT yang dicuri dan menjadi korban tidak langsung.

Memblokir NFT yang dicuri menciptakan korban tidak langsung

Korban tidak langsung adalah seseorang yang bukan menjadi target peretasan tetapi secara tidak langsung menderita kerugian finansial yang disebabkan oleh pemblokiran NFT yang dicuri. Seperti yang terlihat dari banyak peretasan NFT baru-baru ini, NFT selalu dijual sebelum pemblokiran diterapkan oleh OpenSea. Konsekuensi dari pemblokiran NFT yang terlambat adalah menimbulkan korban tidak langsung dan lebih banyak kerugian bagi lebih banyak orang.

Untuk mengilustrasikan lebih detail bagaimana seseorang akhirnya membeli NFT curian dan menjadi korban tidak langsung dari peretasan, berikut adalah tiga kasus umum:

Kasus 1: Alice membeli NFT tetapi baru mengetahui kemudian bahwa itu adalah aset curian. NFT diblokir dan Alice tidak dapat menjual atau mentransfernya di OpenSea. Dia kemudian mulai menaikkan tiket dukungan. Setelah beberapa minggu, OpenSea Trust & Tim keamanan menawarkan untuk mengembalikan biaya platform 2,5%; dan mungkin alamat email korban yang melaporkan pencurian jika beruntung. Kemudian, dia kemungkinan akan berdiskusi panjang dengan korban untuk menegosiasikan kemungkinan mengangkat blok, yang kemungkinan besar tidak akan berakhir.

Alice masih dapat menjual NFT di pasar lain tetapi volume penjualannya sangat rendah untuk koleksi khusus ini dan tidak ada pembeli yang dapat menawarkan harga yang wajar di platform selain OpenSea.

Kasus 2: Alice membuat banyak penawaran sambil menawar NFT dari koleksi. Salah satu penawaran diterima oleh peretas, yang kemudian menerima pembayaran dari penawaran di dompet korban dan mulai mengosongkan dompet. NFT kemudian diblokir sebagai bagian dari aset yang dicuri dari transaksi tidak sah oleh korban.

Kasus seperti ini sering terjadi karena NFT yang terdaftar tidak dapat ditransfer kecuali listing tersebut dibatalkan. Peretas, yang berada di bawah tekanan waktu, akan lebih mungkin menerima tawaran penawaran dan mendapatkan hasil dari penjualan dan mentransfer uangnya. Kasus di bawah ini menunjukkan bagaimana seluruh koleksi NFT korban tidak langsung diblokir oleh OpenSea tanpa penjelasan.

Inilah utas saya tentang caranya@opensea secara tidak wajar memblokir akun saya dan membekukan semua NFT saya setelah penawaran saya 40 wen for@BoredApeYC #6267 diterima.
Saya pikir sangat penting untuk menyebarkan kasus ini di antara komunitas NFT!
Mari kita mulai ⬇️pic.twitter.com/xnxctpzzpL

- Mpa3yka (@Mpa3yka)10 November 2021

Kasus 3: Alice telah memiliki NFT selama beberapa waktu dan tiba-tiba diblokir dan ditandai sebagai "dilaporkan untuk aktivitas yang mencurigakan". Akun penjual tidak disusupi dan transaksi terjadi beberapa waktu lalu. Karena tidak ada bukti yang diperlukan untuk melaporkan NFT yang dicuri dan memblokirnya, siapa pun dapat mengirim email ke tim antipenipuan OpenSea untuk memblokir NFT apa pun.

Meskipun laporan polisi dapat diminta nanti, tidak ada pernyataan yang jelas dari OpenSea untuk menentukan bukti yang diperlukan untuk membuktikan peretasan atau kondisi di mana NFT curian yang dilaporkan secara tidak benar dapat diidentifikasi dan dicabut dari blokir. Tidak ada konsekuensi untuk melaporkan NFT yang dicuri secara salah.

NFT sering diblokir tanpa penjelasan atau bukti seperti laporan polisi yang diberikan kepada korban tidak langsung. Secara teoritis, NFT ini masih dapat diperdagangkan di platform lain, tetapi mengingat monopoli OpenSea di pasar, dengan 95% dari total volume perdagangan NFT, memblokir NFT apa pun di OpenSea hampir setara dengan mengeluarkannya dari pasar selamanya.

Memblokir NFT dapat meningkatkan harga secara artifisial

Bahaya memblokir NFT curian dari perdagangan di platform NFT terbesar OpenSea adalah pengurangan pasokan secara permanen. Berdasarkanhukum penawaran dan permintaan dalam teori ekonomi, ketika penawaran turun, harga naik.

Sebagai contoh, koleksi Azuki memiliki 10.000 NFT dan saat ini hanya 1.100 yang dijual di OpenSea. Peretasan Arthur0x mengakibatkan 17 dicuri dan diblokir. Meskipun 17 NFT hanya sekitar 1,5% dari 1.100 pasokan yang beredar, harga sudah menunjukkan tren kenaikan setelah peretasan. Peretasan terjadi pada 22 Maret dan harganyaberpuncak runcing pada 28 Maret hingga 20.96 BT sebelum pengumuman airdrop pada 31 Maret — peningkatan 55% dalam seminggu.

Meskipun tidak semua dari 17 NFT yang dicuri diblokir karena Arthur berhasil memulihkan sebagian melalui negosiasi dengan korban tidak langsung untuk membelinya kembali, peretasan di masa mendatang dalam bentuk serupa akan terjadi terus menerus dan jumlah kumulatif NFT yang diblokir hanya dapat meningkat seiring peretasan berlanjut dan tidak ada prosedur untuk membuka blokirnya.

Menggunakan Azuki sebagai contoh lagi, grafik di bawah ini mengumpulkan jumlah historis penjualan dan harga rata-rata untuk membuat kurva permintaan dan mengasumsikan kurva penawaran linier. Titik di mana kurva penawaran dan permintaan berpotongan adalah harga keseimbangan.

Karena penawaran terus menurun, kecepatan kenaikan harga menjadi lebih cepat karena kemiringan kurva permintaan semakin curam. Penurunan yang sama sebesar 300 NFT dalam pasokan dari 1.000 menjadi 700 ayat dari 700 menjadi 400 menghasilkan kenaikan harga yang lebih besar untuk yang terakhir.

Seperti yang ditunjukkan pada grafik di bawah, harga naik dari 15 ETH menjadi 21 ETH dari pengurangan 1.000 menjadi 700, tetapi meningkat lebih banyak dari 21 ETH menjadi 28 ETH dari pengurangan 700 menjadi 400.

Jelas terlihat bahwa memblokir NFT yang dicuri dapat meningkatkan harga koleksi secara artifisial. Jika seseorang ingin memanfaatkan celah dalam sistem keamanan OpenSea dengan melaporkan secara salah banyak NFT dari koleksi yang sama sebagai yang dicuri (karena tidak diperlukan bukti untuk melaporkan NFT yang dicuri), harga koleksi tersebut dapat meningkat secara dramatis jika pasokannya rendah . Celah ini dapat menciptakan peluang manipulasi harga di pasar NFT yang tidak likuid.

Bagaimanapun, memblokir NFT bukanlah tindakan yang efektif untuk menghentikan peretasan atau menghukum peretas, tetapi sebaliknya, menciptakan lebih banyak korban dan celah tidak langsung bagi manipulator pasar. Ini tentu saja bukan cara yang tepat, jadi apakah ada tindakan pengamanan yang efektif?

Langkah-langkah pencegahan dan sistem berbasis bukti perlu ada

Sistem keamanan OpenSea saat ini tidak memiliki tindakan pencegahan untuk melindungi pengguna terlebih dahulu. Semua tindakan keamanan diterapkan hanya setelah peretasan, yang merupakan salah satu alasan utama mengapa tindakan tersebut tidak efektif.

Berdasarkan perilaku para peretas, waktu merupakan komponen penting. Langkah-langkah keamanan yang dapat memperlambat peretas atau memberi tahu korban lebih awal adalah kunci untuk memenangkan pertempuran. Berikut adalah beberapa tindakan pencegahan yang lebih efektif yang dapat diterapkan oleh OpenSea:

• Membuat sistem peringatan dini yang dapat mendeteksi aktivitas akun yang tidak normal dan mengirim pesan teks instan atau peringatan email untuk memberi tahu pengguna tentang aktivitas tersebut sehingga mereka memiliki cukup waktu untuk merespons. Misalnya, jika akun tidak pernah membeli atau mentransfer lebih dari satu NFT dalam satu menit; atau jika akun tidak pernah melakukan aktivitas apa pun di masa lalu selama periode waktu tertentu (yaitu zona waktu saat pengguna tertidur), kemunculan aktivitas tersebut akan terdeteksi oleh algoritme pembelajaran mesin. Pemegang akun dapat memilih untuk segera diberi tahu, atau membiarkan akun dikunci secara otomatis demi keamanan.

• Memberi pengguna opsi untuk membatasi jumlah maksimum transfer atau penjualan NFT yang diizinkan dalam jangka waktu tertentu, yaitu, maksimal satu transfer atau penjualan dalam satu menit; atau interval waktu minimum yang diberlakukan antara setiap transfer atau penjualan, yaitu transfer atau penjualan berikutnya hanya dapat terjadi 15 menit setelah yang sebelumnya. Langkah-langkah ini dapat mencegah peretas mencuri sejumlah besar NFT sekaligus.

• Buat dasbor akun mencurigakan yang memungkinkan korban untuk secara instan menambahkan akun yang disusupi dan akun peretas untuk pengawasan publik. Ini akan memberi semua pembeli informasi waktu nyata tentang akun yang mencurigakan dan kemampuan untuk memeriksa ulang apakah penjual ada dalam daftar sebelum mereka membeli. Bukti seperti laporan polisi dapat diminta di kemudian hari dari korban untuk membuktikan bahwa laporan yang dilaporkan memang dikompromikan.

Beberapa tindakan ini mungkin menimbulkan alarm palsu dan ketidaknyamanan. Tetapi mengingat ini adalah perlombaan waktu melawan peretas dalam hal tindakan pencegahan, pengguna lebih memilih aman daripada menyesal untuk menghindari menjadi korban berikutnya.

Kesalahpahaman umum tentang peretasan kripto

Kesalahpahaman umum tentang peretasan crypto adalah bahwa "ini tidak akan terjadi pada saya karena kesadaran keamanan saya tinggi dan saya menggunakan dompet keras." Mungkin benar bahwa peretasan berbahaya secara langsung dapat dihindari melalui praktik keamanan yang baik, tetapi siapa pun dapat menjadi korban tidak langsung dari peretasan yang menargetkan orang lain. Ketika jumlah peretasan meningkat, peluang menjadi korban tidak langsung juga jauh lebih tinggi.

Kesalahpahaman lainnya adalah, "selama saya tidak menyimpan terlalu banyak uang di dompet panas saya, tidak masalah jika dompet itu dikompromikan." Apa yang sebagian besar pengguna tidak sadari adalah bahwa kerugian moneter hanyalah salah satu akibat dari peretasan. Kehilangan dompet Web3 seperti kehilangan seluruh riwayat kredit Anda. Manfaat masa depan apa pun berdasarkan aktivitas sebelumnya seperti airdrops atau akses ke pinjaman dan leverage juga dapat menguap dengan dompet yang disusupi.

Meskipun blockchain adalah salah satu teknologi keuangan paling aman yang pernah dibuat, peretasan berbahaya terhadap platform berbasis crypto adalah ancaman terbesar bagi usaha Web3.

Mengingat sifat blockchain yang tidak dapat diubah dan kurangnya langkah-langkah keamanan preventif OpenSea, tidak sulit untuk melihat solusi terbaik yang muncul setelah OpenSeaPeretasan lelang domain Ethereum adalah untuk menawarkan kepada peretas keuntungan 25% dari penjualan dengan imbalan pengembalian NFT yang dicuri. Hanya di dunia pasar NFT seorang penjahat bisa mendapatkan hadiah daripada dihukum untuk kejahatan yang begitu serius.

Sebagai monopoli pasar NFT, OpenSea tentunya dapat melakukan lebih baik dari ini dan mengambil langkah-langkah keamanan dengan lebih serius dan memberikan perlindungan lebih kepada penggunanya.

Pandangan dan pendapat yang diungkapkan di sini semata-mata milik penulis dan tidak mencerminkan pandangan Cointelegraph.com. Setiap langkah investasi dan perdagangan melibatkan risiko, Anda harus melakukan riset sendiri saat mengambil keputusan.