Pasar token nonfungible (NFT) telah berkembang pesat sejak musim panas 2021 dan ketika harga NFT meroket, demikian pula jumlah peretasan yang menargetkan NFT.
Retas profil tinggi terbaru menyedot sekitar 600 Ether (ETH) senilai NFT dari Arthur0x, pendiri DeFiance Capital, yang kemudian dijual di OpenSea.
Laporan Kejahatan Kripto 2022 yang diterbitkan oleh Chainalysis menyoroti bahwa nilai yang dikirim ke pasar NFT melalui alamat terlarang melonjak secara signifikan pada tahun 2021, mencapai hanya di bawah $1.4 juta. Ada juga peningkatan yang jelas dalam dana curian yang dikirim ke pasar NFT.
Mengingat peningkatan pesat nilai gelap yang mengalir ke platform NFT, wajar untuk bertanya apakah langkah-langkah dan prosedur keamanan ada dan jika demikian, apakah langkah-langkah ini efektif dalam melindungi pemilik.
Mari kita lihat OpenSea, platform NFT terbesar, dan langkah-langkah keamanannya.
Tindakan keamanan di OpenSea tidak dapat melindungi pengguna
OpenSea memiliki dua langkah keamanan utama yang dimulai setelah akun "diretas" — mengunci akun yang disusupi dan memblokir NFT yang dicuri. Kedua ukuran ini sangat tidak efektif jika dilihat dari dekat.
Mengunci akun dapat dilakukan di situs web OpenSea tanpa persetujuan manusia sebagai ditunjukkan di sini, sedangkan memblokir NFT melibatkan proses panjang menaikkan tiket dan menunggu tim bantuan OpenSea untuk merespons.
Dalam situasi di mana peretas telah merusak dompet dan sedang dalam proses mentransfer NFT keluar, mengunci akun hanya akan efektif jika dilakukan sebelum peretas mentransfer semuanya.
Demikian pula, memblokir NFT juga hanya efektif sebelum NFT dijual ke pembeli lain oleh peretas. Parahnya lagi, tindakan pengamanan ini menimbulkan rentetan korban tidak langsung yang berujung pada pemblokiran NFT yang tidak bisa dijual atau ditransfer. Hal ini karena response time untuk tiket yang dinaikkan di OpenSea setidaknya satu hari. Pada saat NFT diblokir oleh OpenSea, mereka pasti sudah dijual ke pembeli lain yang sekarang menjadi korban kejahatan baru.
Dalam kasus 17 Azuki yang dicuri dari Arthur0x, 15 dicuri dalam menit yang sama dan dua dicuri tiga menit kemudian. Waktu rata-rata NFT yang dicuri ini tetap berada di dompet peretas sebelum dijual adalah 43 menit. Tindakan keamanan dari OpenSea sama sekali tidak responsif dan cukup cepat untuk memberi tahu korban dan menghentikan peretas; mereka juga tidak dapat memberi tahu pembeli dengan cukup cepat untuk menghentikan mereka membeli NFT yang dicuri dan menjadi korban tidak langsung.
Memblokir NFT yang dicuri menciptakan korban tidak langsung
Korban tidak langsung adalah seseorang yang bukan target peretasan tetapi secara tidak langsung menderita kerugian finansial yang disebabkan oleh pemblokiran NFT yang dicuri. Seperti yang terlihat dari banyak peretasan NFT baru-baru ini, NFT selalu dijual sebelum blok diimplementasikan oleh OpenSea. Akibat terlambatnya pemblokiran NFT adalah menimbulkan korban tidak langsung dan semakin banyak kerugian bagi lebih banyak orang.
Untuk mengilustrasikan secara lebih rinci bagaimana seseorang dapat membeli NFT curian dan menjadi korban tidak langsung dari peretasan, berikut adalah tiga kasus umum:
Kasus 1: Alice membeli NFT tetapi baru mengetahui kemudian bahwa itu adalah aset curian. NFT diblokir dan Alice tidak dapat menjual atau mentransfernya di OpenSea. Dia kemudian melanjutkan untuk menaikkan tiket dukungan. Setelah beberapa minggu, tim OpenSea Trust & Safety menawarkan untuk mengembalikan biaya platform 2.5%; dan mungkin alamat email korban yang melaporkan pencurian jika beruntung. Kemudian, dia kemungkinan akan melakukan diskusi panjang dengan korban untuk menegosiasikan kemungkinan mengangkat blok, yang kemungkinan besar tidak akan berakhir di mana-mana.
Alice masih dapat menjual NFT di pasar lain tetapi volume penjualan sangat rendah untuk koleksi khusus ini dan tidak ada pembeli yang dapat menawarkan harga yang wajar pada platform selain OpenSea.
Kasus 2: Alice membuat beberapa penawaran saat menawar NFT dari koleksi. Salah satu penawaran diterima oleh peretas, yang kemudian menerima pembayaran dari tawaran di dompet korban dan melanjutkan untuk mengosongkan dompet. NFT diblokir kemudian sebagai bagian dari aset yang dicuri dari transaksi yang tidak sah oleh korban.
Kasus seperti ini sering terjadi karena NFT yang terdaftar tidak dapat dialihkan kecuali listing tersebut dibatalkan. Peretas, yang berada di bawah tekanan waktu, akan lebih mungkin menerima tawaran tawaran dan mendapatkan hasil dari penjualan dan mentransfer uang keluar. Kasus di bawah ini menunjukkan bagaimana seluruh koleksi NFT korban tidak langsung diblokir oleh OpenSea tanpa penjelasan.
Inilah utas saya tentang caranya @optik secara tidak masuk akal memblokir akun saya dan membekukan semua NFT saya setelah tawaran saya 40 weth for @BoredApeYC #6267 diterima.
Saya pikir sangat penting untuk menyebarkan kasus ini di antara komunitas NFT!
Mari kita mulai ️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) November 10, 2021
Kasus 3: Alice telah memiliki NFT selama beberapa waktu dan tiba-tiba diblokir dan ditandai sebagai "dilaporkan karena aktivitas yang mencurigakan." Akun penjual tidak dikompromikan dan transaksi terjadi beberapa waktu lalu. Karena tidak ada bukti yang diperlukan untuk melaporkan NFT yang dicuri dan memblokirnya, siapa pun dapat mengirim email ke tim anti-penipuan OpenSea untuk memblokir NFT apa pun.
Meskipun laporan polisi dapat diminta nanti, tidak ada pernyataan yang jelas dari OpenSea untuk menentukan bukti yang diperlukan untuk membuktikan peretasan atau kondisi di mana NFT curian yang dilaporkan secara salah dapat diidentifikasi dan dicabut dari blok. Tidak ada konsekuensi untuk melaporkan NFT curian secara salah.
NFT sering diblokir tanpa penjelasan atau bukti seperti laporan polisi yang diberikan kepada korban tidak langsung. Secara teoritis, NFT ini masih dapat diperdagangkan di platform lain, tetapi mengingat monopoli OpenSea di pasar, dengan 95% dari total volume perdagangan NFT, memblokir NFT apa pun di OpenSea hampir setara dengan mengeluarkannya dari pasar selamanya.
Memblokir NFT secara artifisial dapat meningkatkan harga
Bahaya memblokir NFT yang dicuri dari perdagangan di platform NFT terbesar OpenSea adalah pengurangan pasokan secara permanen. Berdasarkan hukum penawaran dan permintaan dalam teori ekonomi, ketika penawaran turun, harga naik.
Sebagai contoh, koleksi Azuki memiliki 10,000 NFT dan saat ini hanya 1,100 yang dijual di OpenSea. Peretasan Arthur0x mengakibatkan 17 dicuri dan diblokir. Meskipun 17 NFT hanya sekitar 1.5% dari 1,100 pasokan yang beredar, harga sudah menunjukkan tren kenaikan setelah diretas. Peretasan terjadi pada 22 Maret dan harganya berpuncak runcing pada 28 Maret hingga 20.96 E sebelum pengumuman airdrop pada 31 Maret — peningkatan 55% dalam seminggu.
Meskipun tidak semua dari 17 NFT yang dicuri diblokir karena Arthur berhasil memulihkan beberapa melalui negosiasi dengan korban tidak langsung untuk membelinya kembali, peretasan di masa mendatang dalam bentuk serupa akan terjadi terus menerus dan jumlah kumulatif NFT yang diblokir hanya dapat meningkat saat peretasan berlanjut dan tidak ada prosedur untuk membuka blokirnya.
Menggunakan Azuki sebagai contoh lagi, grafik di bawah ini mengumpulkan jumlah historis penjualan dan harga rata-rata untuk membuat kurva permintaan dan mengasumsikan kurva penawaran linier. Titik di mana kurva penawaran dan permintaan berpotongan adalah harga keseimbangan.
Ketika penawaran terus berkurang, kecepatan kenaikan harga menjadi lebih cepat karena kemiringan kurva permintaan semakin curam. Penurunan 300 NFT yang sama dalam pasokan dari 1,000 ke 700 berbanding 700 ke 400 menghasilkan kenaikan harga yang lebih besar untuk yang terakhir.
Seperti yang ditunjukkan pada grafik di bawah, harga meningkat dari 15 ETH menjadi 21 ETH dari pengurangan 1,000 menjadi 700, tetapi meningkat lebih banyak dari 21 ETH menjadi 28 ETH dari pengurangan 700 menjadi 400.
Jelas terlihat bahwa memblokir NFT yang dicuri dapat meningkatkan harga koleksi secara artifisial. Jika seseorang ingin memanfaatkan celah dalam sistem keamanan OpenSea dengan salah melaporkan banyak NFT dari koleksi yang sama dengan yang dicuri (karena tidak ada bukti yang diperlukan untuk melaporkan NFT yang dicuri), harga koleksi dapat meningkat secara dramatis jika pasokannya rendah . Celah ini dapat menciptakan peluang manipulasi harga di pasar NFT yang tidak likuid.
Bagaimanapun, memblokir NFT bukanlah langkah yang efektif untuk menghentikan peretasan atau menghukum peretas, tetapi sebaliknya, menciptakan lebih banyak korban tidak langsung dan celah bagi manipulator pasar. Ini tentu bukan cara yang harus ditempuh, jadi apakah ada tindakan pengamanan yang efektif?
Tindakan pencegahan dan sistem berbasis bukti harus ada
Sistem keamanan OpenSea saat ini tidak memiliki tindakan pencegahan untuk melindungi pengguna terlebih dahulu. Semua tindakan keamanan diterapkan hanya setelah peretasan, yang merupakan salah satu alasan utama mengapa tindakan itu tidak efektif.
Berdasarkan perilaku para peretas, waktu adalah komponen penting. Langkah-langkah keamanan yang dapat memperlambat peretas atau memberi tahu para korban lebih awal adalah kunci untuk memenangkan pertempuran. Berikut adalah beberapa tindakan pencegahan yang lebih efektif yang dapat diterapkan oleh OpenSea:
- Buat sistem peringatan dini yang dapat mendeteksi aktivitas akun yang tidak normal dan mengirim pesan teks instan atau peringatan email untuk memberi tahu pengguna tentang aktivitas tersebut sehingga mereka memiliki cukup waktu untuk merespons. Misalnya, jika akun tidak pernah membeli atau mentransfer lebih dari satu NFT dalam satu menit; atau jika akun tidak pernah memiliki aktivitas apa pun di masa lalu selama periode waktu tertentu (yaitu zona waktu saat pengguna tertidur), kemunculan aktivitas tersebut akan dideteksi oleh algoritme pembelajaran mesin. Pemegang akun dapat memilih untuk segera diinformasikan, atau mengizinkan akun dikunci secara otomatis demi keamanan.
- Memberi pengguna opsi untuk membatasi jumlah maksimum transfer atau penjualan NFT yang diizinkan dalam jangka waktu, yaitu, maksimum satu transfer atau penjualan dalam satu menit; atau interval waktu minimum yang diberlakukan antara setiap transfer atau penjualan, yaitu transfer atau penjualan berikutnya hanya dapat terjadi 15 menit setelah yang sebelumnya. Langkah-langkah ini dapat mencegah peretas mencuri sejumlah besar NFT sekaligus.
- Buat dasbor akun mencurigakan yang memungkinkan korban untuk secara instan menambahkan akun yang disusupi dan akun peretas untuk pengawasan publik. Ini akan memberi semua pembeli informasi waktu nyata tentang akun yang mencurigakan dan kemampuan untuk memeriksa silang apakah penjual ada dalam daftar sebelum mereka membeli. Bukti seperti laporan polisi nantinya dapat diminta dari korban untuk membuktikan bahwa akun yang dilaporkan memang disusupi.
Beberapa tindakan ini dapat menimbulkan alarm palsu dan ketidaknyamanan. Tetapi mengingat ini adalah perlombaan waktu melawan peretas dalam hal tindakan pencegahan, pengguna lebih memilih aman daripada menyesal untuk menghindari menjadi korban berikutnya.
Kesalahpahaman umum tentang peretasan kripto
Kesalahpahaman umum tentang peretasan kripto adalah bahwa “ini tidak akan terjadi pada saya karena kesadaran keamanan saya tinggi dan saya menggunakan dompet keras.” Mungkin benar bahwa peretasan jahat langsung dapat dihindari melalui praktik keamanan yang baik, tetapi siapa pun dapat menjadi korban tidak langsung peretasan yang menargetkan orang lain. Ketika jumlah peretasan meningkat, peluang menjadi korban tidak langsung juga jauh lebih tinggi.
Kesalahpahaman lain adalah, "selama saya tidak menyimpan terlalu banyak uang di dompet panas saya, tidak masalah jika dompet itu dikompromikan." Apa yang kebanyakan pengguna gagal sadari adalah bahwa kerugian moneter hanyalah salah satu akibat dari peretasan. Kehilangan dompet Web3 seperti kehilangan seluruh riwayat kredit Anda. Manfaat masa depan apa pun berdasarkan aktivitas masa lalu seperti airdrop atau akses ke pinjaman dan leverage juga dapat menguap dengan dompet yang dikompromikan.
Meskipun blockchain adalah salah satu teknologi keuangan paling aman yang pernah dibuat, peretasan berbahaya terhadap platform berbasis kripto adalah ancaman terbesar bagi usaha Web3.
Mengingat sifat blockchain yang tidak dapat diubah dan kurangnya tindakan keamanan preventif OpenSea, tidaklah sulit untuk melihat solusi terbaik yang dibuat OpenSea setelah Peretasan lelang domain Ethereum adalah menawarkan kepada peretas keuntungan 25% dari penjualan dengan imbalan pengembalian NFT yang dicuri. Hanya di dunia pasar NFT seorang penjahat bisa mendapatkan hadiah daripada dihukum untuk kejahatan yang begitu serius.
Sebagai monopoli pasar NFT, OpenSea tentunya dapat melakukan lebih baik dari ini dan mengambil langkah-langkah keamanan lebih serius dan memberikan perlindungan lebih kepada penggunanya.
Pandangan dan pendapat yang diungkapkan di sini adalah milik penulis dan tidak selalu mencerminkan pandangan Cointelegraph.com. Setiap langkah investasi dan perdagangan melibatkan risiko, Anda harus melakukan penelitian Anda sendiri ketika membuat keputusan.
Sumber: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections