Kerentanan kritis yang sekarang ditambal di OpenSea, pasar non-fungible token (NFT) terbesar di dunia, dapat disalahgunakan oleh aktor jahat untuk menguras dana cryptocurrency dari korban dengan mengirimkan token yang dibuat khusus, membuka vektor serangan baru untuk eksploitasi.
Temuan ini berasal dari perusahaan keamanan siber Check Point Research, yang memulai penyelidikan ke dalam platform menyusul laporan publik tentang dompet cryptocurrency curian yang dipicu oleh NFT yang dijatuhkan secara gratis. Masalah tersebut diperbaiki dalam waktu kurang dari satu jam setelah pengungkapan yang bertanggung jawab pada 26 September 2021.
“Dibiarkan tidak ditambal, kerentanan dapat memungkinkan peretas untuk membajak akun pengguna dan mencuri seluruh dompet cryptocurrency dengan membuat NFT berbahaya,” kata peneliti Check Point.
Seperti namanya, NFT adalah aset digital unik seperti foto, video, audio, dan barang-barang lainnya yang dapat dijual dan diperdagangkan di blockchain, menggunakan teknologi sebagai sertifikat keaslian untuk menetapkan bukti kepemilikan yang terverifikasi dan publik.
Modus operandi serangan bergantung pada pengiriman korban NFT berbahaya yang, ketika diklik, menghasilkan skenario di mana transaksi jahat dapat difasilitasi melalui penyedia dompet pihak ketiga hanya dengan memberikan tanda tangan dompet untuk menghubungkan dompet mereka dan melakukan tindakan pada dompet atas nama target.
OpenSea mengatakan belum mengidentifikasi contoh di mana kerentanan ini dieksploitasi di alam liar tetapi menambahkan bahwa mereka bekerja dengan layanan dompet pihak ketiga untuk “membantu pengguna mengidentifikasi permintaan tanda tangan berbahaya dengan lebih baik, serta inisiatif lain untuk membantu pengguna menggagalkan penipuan dan serangan phishing dengan lebih efektif.”
Selengkapnya: The Hacker News
