Lelang Pribadi OpenSea Dikhawatirkan oleh Penipu NFT

• Fungsi "penjualan tanpa gas" dari OpenSea berfungsi sebagai senjata penting bagi peretas NFT. 
• Korban diharuskan menandatangani kontrak yang tidak berbahaya, mirip dengan tanda tangan login.

Terbesar Pasar NFT OpenSea pengguna mengalami risiko karena peretasan baru yang melibatkan fitur di OpenSea melalui situs web phishing. Karena nonfungible token (NFT) semakin populer, scammers yang sering mencoba memanfaatkan pengguna di pasar NFT telah meningkat aktivitasnya. 

OpenSea memiliki fitur yang disebut "penjualan tanpa gas", yang memungkinkan pengguna menjual NFT melalui kontrak dengan menandatangani pesan yang tidak dapat dibaca. Pada tanggal 23 Desember, Perampas, firewall on-chain pertama yang mencegah peretasan. Memperingatkan pengguna NFT melalui tweet tentang serangan baru yang melibatkan penjualan tanpa gas.

Bagaimana Website Phishing Menarik Pengguna?

Pengguna harus menyetujui permintaan tanda tangan dengan pesan yang tidak dapat dibaca untuk dibuat penjualan tanpa gas di platform OpenSea. Selain itu, pengguna dapat mengizinkan lelang pribadi dengan tanda tangan yang tidak dapat dibaca menggunakan fitur ini. Namun, untuk memasuki situs web phishing, korban diharuskan menandatangani kontrak yang tidak berbahaya yang serupa dengan “tanda tangan masuk”.

Menurut tahunusemen, tanda tangan masuk ini adalah tawaran untuk menjual NFT pengguna secara pribadi seharga 0 ETH ke alamat peretas. Setelah pengguna NFT menandatanganinya, NFT akan ditransfer ke alamat dompet peretas.

Harpie menyatakan bahwa tanda tangan sering ditampilkan sebagai langkah yang diperlukan untuk masuk dan mengakses situs web. Harpie mengklaim bahwa dengan memanfaatkan fitur OpenSea, peretas dapat mencuri jutaan aset digital. Belakangan, pakar tersebut menemukan perbedaan antara permintaan penipu dan pengguna. 

Namun, Harpie juga menunjukkan bagaimana penipu diduga mencuri 14 NFT Kera Bosan menggunakan fitur tanda tangan tanpa gas pada 17 Desember. Peretas melakukan rekayasa sosial ekstensif untuk mengarahkan korban ke situs web NFT palsu. Dan memiliki tanda kontrak pemegang. Setelah itu, dompet korban dicuri hingga miliaran.