Kerentanan Pesanan yang Tertunda di Opensea Dieksploitasi, Menimbulkan Kerugian Jutaan Dolar

2022-02-07, 10:08


【TL; DR】

1. Pada 24 Januari 2022, Opensea, platform perdagangan NFT terbesar di dunia, diretas, mengakibatkan kerugian hampir $1 juta.
2. Terdapat kerentanan pesanan yang tertunda di OpenSea, dan pesanan yang tertunda yang belum dibatalkan pada rantai masih ada. Jika pengguna mentransfer keluar dari NFT tanpa membayar biaya gas dan membatalkan pesanan yang tertunda, ia akan menghadapi risiko aset saat mentransfer kembali ke NFT ke akun OpenSea.
3. Menurut data resmi OpenSea yang diberikan pada hari Kamis, OpenSea telah mengkompensasi 750 ETH untuk total 130 pemilik dompet.
4. Selain kerugian yang disebabkan oleh peretasan peretas, OpenSea baru-baru ini menyebabkan ketidakpuasan komunitas karena persiapannya untuk daftaran.

Pada 24 Januari 2022, Opensea, platform perdagangan NFT terbesar di dunia, diretas, mengakibatkan kerugian hampir $1 juta.

Ketika insiden itu terjadi, banyak pengguna menemukan bahwa NFT mereka dibeli dengan harga yang sangat rendah dan dengan cepat dijual kembali dengan harga tinggi. Sebagai contoh, diketahui bahwa harga jual terendah dari Bored Apes adalah $198.000. Namun, pengguna Bored Ape dibeli seharga $ 1800 dan dijual seharga $ 196.000 20 menit kemudian. Jelas, peretas mengambil keuntungan dari kerentanan platform Opensea untuk membeli rendah dan menjual NFT orang lain tinggi untuk mendapatkan selisih harga yang tinggi. Aset NFT yang dibeli rendah dan dijual tinggi antara lain Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats, dan Cyberkongz NFT. Sebagai contoh, kerentanan dieksploitasi oleh peretas sekitar pukul 7:00 pada tanggal 25, sehingga Bored Ape Yacht Club NFT #9991 dibeli dengan harga yang sangat rendah yaitu 0.77ETH dan kemudian dijual kembali dengan harga normal pada 84.2ETH.


Selain OpenSea, Rarible, market perdagangan NFT arus utama lainnya, juga telah diretas dalam bentuk yang sama. Dilaporkan bahwa alasan mengapa kedua market NFT sama-sama diretas ialah karena Rarible juga menggunakan API dari OpenSea untuk meluncurkan NFT. Terdapat celah di API ini, yang membuat pesanan yang tertunda menjadi tidak normal.

Dalam kasus daftar normal, informasi tanda tangan saat menjual NFT akan disimpan sementara di server OpenSea. Data ini dapat diakses melalui API dan akan dibatalkan setelah transaksi biasanya selesai. Namun karena adanya celah pada mekanisme tersebut, pesanan yang tertunda yang telah menyelesaikan transaksi di OpenSea mungkin masih dapat aktif. Setelah pembeli NFT mengembalikan NFT ke OpenSea, ini akan dimanfaatkan oleh peretas untuk membeli NFT dengan penawaran asli. Karena kutipan sebelumnya dihasilkan ketika harga NFT masih sangat rendah, peretas dapat membeli NFT dengan harga yang sangat rendah dan menjualnya dengan cepat pada harga market.


Saat insiden itu terjadi, sejumlah pengguna dengan kepentingan yang dirugikan dengan cemas mencari bantuan di media sosial. Gambar berikut merupakan pemilik asli dari Bored Ape Yacht Club NFT #9991 tersebut di atas. Selain itu, banyak pengguna mengatakan bahwa NFT mereka dibeli dengan harga kedaluwarsa.

Ketika pengguna memutuskan untuk membatalkan pesanan yang tertunda, pesanan tersebut aakan hilang hanya ketika pengguna memutuskan untuk membatalkannya. Jika pengguna hanya mentransfer NFT ke dompet lain tanpa benar-benar membatalkannya (untuk menghindari biaya gas), pesanan yang tertunda asli yang tidak terhapus dapat dieksploitasi ketika mereka mentransfer NFT kembali ke OpenSea.

Setelah kejadian itu, seorang pengguna twitter bernama "bor4edape93" memposting tangkapan layar, mengatakan bahwa ia telah menemukan kerentanan pada Juni 2021 dan melaporkannya ke pejabat OpenSea. Namun, Opensea jelas tidak memperhatikan masalah ini dan tidak menangani kerentanan tersebut, yang akhirnya menyebabkan insiden peretasan. Menurut informasi perdagangan Opensea, ID akun dari peretas yang dicurigai adalah "jpegdegenlove", yang menghasilkan lebih dari $800.000 dengan cara ini dalam beberapa jam. Saat ini, halaman beranda akun tidak dapat diakses.

Karena pemegang NFT sebelumnya tidak menyadari keberadaan kerentanan ini, setelah mereka mentransfer NFT yang dibeli sebelumnya kembali ke OpenSea, aset mereka akan berisiko. Menurut berita pada 28 Januari, pejabat OpenSea telah menghubungi pengguna yang belum membatalkan pesanan lama mereka melalui email untuk mengingatkan mereka agar membatalkan pesanan asli mereka di rantai. Selain itu, OpenSea telah mengkompensasi 750ETH untuk total 130 pemilik dompet, menurut data yang diberikan oleh pejabat OpenSea pada hari Kamis.


Opensea, didirikan pada tahun 2017, yang merupakan market perdagangan NFT terbesar di dunia. Pengguna dapat menggunakan NFT di OpenSea, memperdagangkan dan melelang karya NFT. Di market perdagangan NFT ini, terdapat banyak jenis NFT yang dapat diperdagangkan, seperti seni digital, koleksi, item game, nama domain, dan bahkan bentuk digital aset fisik. Intinya, OpenSea adalah versi NFT dari Taobao. Di Taobao, orang membeli semua jenis barang fisik, sedangkan di OpenSea, orang memperdagangkan berbagai jenis aset digital. Karena industri NFT telah menarik banyak perhatian lagi dan lagi tahun ini karena karya seni terenkripsi, avatar terenkripsi, dan real estate virtual, jumlah pengguna Opensea juga meningkat. Saat ini, jumlah pengguna aktif bulanan Opensea sudah mencapai 200.000.

Namun, selain kerugian yang disebabkan oleh peretasan peretas, Opensea juga menghadapi banyak perselisihan lain baru-baru ini. Pada 6 Desember tahun lalu, Brian Roberts, CFO baru OpenSea, mengungkapkan bahwa perusahaan secara aktif mempromosikan IPO. Perilaku ini dianggap oleh komunitas enkripsi sebagai pengkhianatan terhadap penggunanya. Penggemar enkripsi mendukung pertumbuhan platform yang cepat. Mereka berharap OpenSea dapat mendistribusikan token tata kelola melalui airdrop, seperti layanan nama domain Ethereum ENS dan Rarible, platform perdagangan NFT lainnya.

Untuk memprotes OpenSea, komunitas meluncurkan OpenDAO pada 24 Desember dan akan meng-airdrop SOS token tata kelola ke semua pengguna yang telah berinteraksi dengan OpenSea. Jumlah airdrop terkait dengan tingkat pengguna yang menggunakan OpenSea. Total sirkulasi token SOS adalah 100 triliun, dimana 50% akan digunakan untuk airdrop, 20% untuk hadiah staking, 10% untuk hadiah penambangan likuiditas pengguna, dan 20% untuk pemeliharaan harian pengguna Dao.

Pada 26 Desember, pejabat OpenSea juga menanggapi. Di satu sisi, meski pejabat OpenSea tidak ada hubungannya dengan airdrop token SOS, OpenSea menegaskan kontribusi komunitas; Di sisi lain, karena latar belakang token SOS yang tidak resmi, OpenSea juga mengingatkan pengguna akan risiko yang terkait dengan token SOS.



Pengarang: Gate.io Pengamat: Edward.H
Disclaimer:
* Artikel ini hanya mewakili pandangan para pengamat dan bukan merupakan saran investasi.
*Gate.io memiliki semua hak atas artikel ini. Memposting ulang artikel akan diizinkan asalkan diberikan izin oleh Gate.io. Dalam semua kasus lain, tindakan hukum akan diambil karena pelanggaran hak cipta.


Artikel Pilihan Gate.io Minggu Ini
Analisis Kerentanan Kontrak Game SQUID - Risiko Tetap Tinggi
insiden peretasan DeFi pada tahun 2021
Marketplace NFT Terlihat Langka Bersaing dengan OpenSea
Bagikan
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank