Pasar non-fungible token (NFT) OpenSea sedang menyelidiki serangan phishing yang menyebabkan 17 penggunanya tidak memiliki lebih dari 250 NFT senilai sekitar $2 juta.
NFT mewakili data yang disimpan di blockchain, Ethereum dalam hal ini, yang menyatakan kepemilikan file digital, biasanya file media karya seni.
Para peneliti di Check Point mengatakan bahwa pelaku phishing mengetahui tentang OpenSea yang meningkatkan sistem kontrak pintarnya untuk membersihkan daftar lama dan tidak aktif di platform dan bersiap untuk migrasi dengan email dan situs web mereka sendiri.
OpenSea memberi tahu penggunanya bahwa mereka harus memperbarui daftar mereka antara 18 – 25 Februari jika mereka ingin terus menggunakan platform.
Untuk membantu mereka dalam prosesnya, platform mengirim email kepada semua pengguna dengan instruksi tentang cara mengonfirmasi migrasi daftar.
Pelaku phishing mengambil keuntungan dari proses ini dan menggunakan alamat email mereka sendiri untuk mengirim pesan dari OpenSea ke pengguna yang divalidasi, menipu mereka dengan berpikir bahwa konfirmasi asli mereka tidak berhasil.
Tautan yang disematkan ke dalam email palsu itu mengarah ke situs web phishing tempat para korban diminta untuk menandatangani transaksi, yang diduga terkait dengan migrasi.
Seperti yang dijelaskan oleh Check Point, aktor tersebut bahkan melakukan uji coba pada 21 Januari 2022, untuk memverifikasi bahwa serangan itu akan berhasil sebagaimana dimaksud.
OpenSea dengan cepat menunjukkan bahwa serangan itu tidak mengeksploitasi kerentanan apa pun pada platform atau sistem perdagangannya, melainkan hanya mengandalkan menipu pengguna melalui phishing.
Dengan demikian, platform telah menyarankan pengguna untuk tetap waspada dan menghindari mengikuti tautan apa pun yang bukan milik domain opensea.io.
Selain itu, email phishing dikonfirmasi berasal dari luar platform, yang mengonfirmasi bahwa sistem distribusi email platform tidak disusupi.
Menandatangani transaksi tanpa memperhatikan memberikan izin kepada orang lain untuk mentransfer kepemilikan aset digital Anda. Permintaan dari platform pertukaran dikecualikan, semua permintaan transaksi lainnya harus ditolak.
Sumber : Bleeping Computer
