Skandal phishing Opensea mengungkapkan kebutuhan keamanan di seluruh lanskap NFT

Meskipun volatilitas yang sedang berlangsung mengganggu sektor aset digital, satu ceruk yang tidak diragukan lagi terus berkembang adalah pasar token nonfungible (NFT). Hal ini dibuktikan dengan fakta bahwa semakin banyak penggerak dan pelopor arus utama termasuk Coca-Cola, Adidas, New York Stock Exchange (NYSE) dan McDonalds, di antara banyak lainnya, telah masuk ke ekosistem Metaverse yang sedang berkembang. dalam beberapa bulan terakhir.

Juga, karena fakta bahwa selama tahun 2021 saja, penjualan NFT global mencapai $40 miliar, banyak analis memperkirakan tren ini akan berlanjut di masa depan. Misalnya, bank investasi Amerika Jefferies baru-baru ini menaikkan perkiraan kapitalisasi pasar untuk sektor NFT menjadi lebih dari $35 miliar untuk tahun 2022 dan menjadi lebih dari $80 miliar untuk tahun 2025 — proyeksi yang juga digaungkan oleh JP Morgan.

Namun, seperti halnya pasar yang tumbuh pada tingkat eksponensial seperti itu, masalah yang terkait dengan keamanan juga harus diharapkan. Dalam hal ini, pasar nonfungible token (NFT) terkemuka OpenSea baru-baru ini menjadi korban serangan phishing yang terjadi hanya beberapa jam setelah platform mengumumkan rencana upgrade selama seminggu untuk menghapus semua NFT yang tidak aktif.

Menyelami masalah

Pada 18 Februari, OpenSea mengungkapkan bahwa mereka akan memulai peningkatan kontrak pintar, yang mengharuskan semua penggunanya untuk mentransfer NFT terdaftar mereka dari blockchain Ethereum ke yang baru kontrak cerdas. Karena pemutakhiran, pengguna yang gagal memfasilitasi migrasi tersebut di atas berisiko kehilangan daftar lama dan tidak aktif mereka. disajikan dengan jendela peluang yang kuat. Dalam beberapa jam setelah pengumuman, terungkap bahwa individu pihak ketiga yang jahat telah memulai kampanye phishing yang canggih, mencuri NFT dari banyak pengguna yang disimpan di platform sebelum mereka dapat dipindahkan ke kontrak pintar baru.

Kami secara aktif menyelidiki rumor eksploitasi yang terkait dengan kontrak pintar terkait OpenSea. Tampaknya ini adalah serangan phishing yang berasal dari luar situs web OpenSea. Jangan klik tautan di luar https://t.co/3qvMZjxmDB.

— OpenSea (@opensea) 20 Februari 2022

Memberikan perincian teknis masalah ini, Neeraj Murarka, chief technical officer dan salah satu pendiri Bluezelle, sebuah blockchain untuk ekosistem GameFi, mengatakan kepada Cointelegraph bahwa pada saat kejadian, OpenSea menggunakan protokol yang disebut Wyvern, modul teknologi standar yang dibuat oleh sebagian besar aplikasi web NFT. penggunaan karena memungkinkan pengelolaan, penyimpanan, dan transfer token ini di dalam dompet pengguna.

Karena kontrak pintar dengan Wyvern memungkinkan pengguna untuk bekerja dengan NFT yang disimpan di “dompet” mereka, peretas dapat mengirim email ke klien Opensea yang menyamar sebagai perwakilan platform, mendorong mereka untuk menandatangani transaksi “buta”. Lebih lanjut Murarka menambahkan:

“Secara kiasan, ini seperti menandatangani cek kosong. Biasanya, ini tidak masalah jika penerima pembayaran adalah penerima yang dituju. Ingatlah bahwa email dapat dikirim oleh siapa saja, tetapi dibuat seolah-olah dikirim oleh orang lain. Dalam hal ini, penerima pembayaran tampaknya adalah peretas tunggal yang dapat menggunakan transaksi yang ditandatangani ini untuk mentransfer dan secara efektif mencuri NFT dari pengguna ini.”

Juga, dalam peristiwa yang menarik, setelah insiden tersebut, peretas tampaknya mengembalikan beberapa NFT yang dicuri kepada pemiliknya yang sah, dengan upaya lebih lanjut sedang dilakukan untuk mengembalikan aset lain yang hilang. Memberikan pendapatnya tentang seluruh masalah, Alexander Klus, pendiri Creaton, platform pembuatan konten Web3, mengatakan kepada Cointelegraph bahwa kampanye email phishing menggunakan transaksi penandatanganan berbahaya untuk menyetujui semua kepemilikan agar dapat dikuras kapan saja. “Kami membutuhkan standar penandatanganan yang lebih baik (EIP-712) sehingga orang dapat benar-benar melihat apa yang mereka lakukan saat menyetujui transaksi.”

Terakhir, Lior Yaffe, salah satu pendiri dan direktur Jelurida, sebuah perusahaan perangkat lunak blockchain , menunjukkan bahwa episode tersebut adalah akibat langsung dari kebingungan seputar peningkatan kontrak pintar OpenSea yang tidak direncanakan dengan baik, serta arsitektur persetujuan transaksi platform.

Pasar NFT perlu meningkatkan permainan keamanan mereka

Dalam pandangan Murarka, aplikasi web yang menggunakan sistem kontrak pintar Wyvern harus ditambah dengan peningkatan kegunaan untuk memastikan bahwa pengguna tidak jatuh untuk serangan phishing seperti itu berulang kali, menambahkan:

“Peringatan yang sangat jelas harus dibuat untuk mendidik pengguna tentang serangan phishing dan menunjukkan fakta bahwa email tidak akan pernah dikirim, meminta pengguna untuk mengambil langkah apa pun. Aplikasi web seperti OpenSea harus mengadopsi protokol ketat untuk tidak pernah berkomunikasi dengan pengguna melalui email selain mungkin hanya data pendaftaran.”

Yang mengatakan, dia mengakui bahwa bahkan jika OpenSea ingin mengadopsi protokol dan standar keamanan/privasi yang paling aman, masih terserah kepada penggunanya untuk mendidik diri mereka sendiri tentang risiko ini. “Sayangnya, aplikasi web itu sendiri sering dianggap bertanggung jawab, meskipun itu adalah pengguna yang terkena phishing. Siapa yang bertanggung jawab? Jawabannya tidak jelas,” katanya.

Sentimen serupa dibagikan oleh Jessie Chan, kepala staf di ParallelChain Lab, ekosistem blockchain terdesentralisasi, yang mengatakan kepada Cointelegraph bahwa terlepas dari bagaimana seluruh serangan itu terjadi. diatur, masalah tidak sepenuhnya tergantung pada protokol keamanan OpenSea yang ada tetapi juga pada kesadaran pengguna terhadap phishing. Pertanyaannya tetap apakah operator pasar seharusnya dapat memberikan informasi yang cukup kepada penggunanya untuk memberi mereka informasi tentang bagaimana menangani skenario seperti itu.

Kemungkinan lain untuk mengurangi potensi peristiwa phishing adalah dengan memiliki semua interaksi antara pengguna dan aplikasi web mereka didorong hanya melalui penggunaan antarmuka seluler/desktop khusus. “Jika semua interaksi memerlukan penggunaan aplikasi desktop, serangan semacam itu dapat dilewati sepenuhnya.”

Memberikan pendapatnya tentang masalah ini, Yaffe mencatat bahwa masalah utama — yang merupakan inti dari ini seluruh masalah — adalah arsitektur dasar dari sebagian besar pasar NFT, memungkinkan pengguna untuk hanya menandatangani persetujuan penuh untuk kontrak pihak ketiga untuk menggunakan dompet pribadi mereka tanpa menetapkan batas pengeluaran:

“Karena tim OpenSea tidak benar-benar mengetahui sumber operasi phishing, hal itu mungkin akan terjadi lagi saat mereka mencoba membuat perubahan pada arsitektur mereka.”

Apa yang bisa dilakukan?

Murarka mencatat bahwa cara terbaik untuk menghilangkan kemungkinan serangan ini adalah jika orang mulai menggunakan dompet perangkat keras. Ini karena sebagian besar dompet perangkat lunak serta solusi penyimpanan kustodian lainnya terlalu rentan dalam desain umum dan pandangan operasionalnya. Dia lebih lanjut menguraikan: “Sama seperti Bitcoin, Ethereum, dll, NFT sendiri harus dipindahkan ke akun dompet perangkat keras alih-alih meninggalkannya di platform terpusat,” menambahkan:

“Pengguna membutuhkan untuk sangat menyadari risiko menanggapi dan bertindak atas email yang mereka terima. Email dapat dipalsukan dengan sangat mudah, dan pengguna harus proaktif tentang keamanan aset kripto mereka.”

Hal lain yang perlu diingat pemilik NFT adalah bahwa mereka hanya boleh berkunjung aplikasi web yang menggunakan protokol keamanan berkualitas tinggi, memeriksa bahwa pasar yang diakses menggunakan mekanisme HTTPS (setidaknya) sambil dapat dengan jelas melihat simbol kunci di kiri atas jendela browser mereka — yang dengan benar menunjuk ke perusahaan yang dituju — saat mengunjungi halaman web mana pun.

Yaffe percaya bahwa pengguna harus berhati-hati dengan persetujuan kontrak dan melacak secara akurat kontrak yang telah mereka beri lampu hijau di masa lalu. “Pengguna harus mencabut persetujuan yang tidak perlu atau tidak aman. Jika memungkinkan, pengguna harus menentukan batas pengeluaran yang wajar untuk setiap persetujuan kontrak,” pungkasnya.

Terkait: Cointelegraph bermitra dengan Nitro Network untuk menghadirkan penambangan digital dan internet terdesentralisasi kepada massa

Terakhir, Chan percaya bahwa dalam skenario yang ideal, pengguna harus menyimpan dompet mereka di platform khusus yang tidak mereka gunakan untuk membaca email atau menjelajahi web, menambahkan bahwa setiap jalan seperti itu tunduk pada semua perilaku serangan pihak ketiga . Dia lebih lanjut menyatakan:

“Ini tidak nyaman, tetapi ketika berhadapan dengan aset yang sangat berharga dan di mana tidak ada jalan lain jika terjadi pencurian, perawatan ekstrim dibenarkan. Dan, seperti halnya semua transaksi keuangan, mereka harus sangat berhati-hati dalam memutuskan siapa yang harus dihadapi, karena pihak lawan juga dapat mencuri aset Anda dan menghilang.”

Oleh karena itu, saat bergerak menuju masa depan yang didorong oleh NFT dan penawaran digital baru serupa lainnya, masih harus dilihat bagaimana platform yang beroperasi dalam ruang ini terus berkembang dan matang, terutama karena semakin banyak modal yang terus masuk ke pasar NFT.

Baca selengkapnya