Ada Bug di OpenSea, Hacker Borong NFT Bernilai Tinggi dengan Harga Murah Meriah

Pasalnya, tempat jual-beli NFT paling populer itu disebut memiliki celah kemanan alias bug yang memungkinkan pengguna membeli aset NFT secara murah-meriah atau jauh di bawah nilai pasar sesungguhnya.

Menurut laporan perusahaan analitik blockchain Elliptic, bug tersebut telah dimanfaatkan setidaknya oleh tiga orang peretas (hacker) untuk membeli delapan aset NFT bernilai hingga 1 juta dollar AS (sekitar Rp 14,3 miliar) pada Senin (25/1/2022) pagi.

Adapun NFT yang diborong oleh hacker berasal dari koleksi NFT populer seperti Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats, dan Cyberkongz.

Karena memanfaatkan celah keamanan, hacker bisa membeli koleksi NFT itu dengan harga jauh lebih rendah dari harga pasaran aslinya.

Misalnya, pada Senin pagi, hacker berhasil membeli NFT Bored Ape Yacht Club #9991 seharga 0,77 ETH (Rp 25,8 juta) saja. Padahal, koleksi NFT Bored Ape Yacht Club ini setidaknya bernilai 198.000 dollar AS (setara Rp 2,84 miliar).

Dua puluh menit setelah dibeli, hacker langsung menjual NFT Bored Ape Yacht Club #9991 seharga 84,2 ETH (Rp 2,81 miliar). Alhasil, hacker berhasil mendulang keuntungan sebesar 194.000 dollar AS atau setara Rp 2,78 miliar.

Hacker lain juga dilaporkan membeli satu aset non fungible token dari koleksi Mutan Ape Yacht Club NFT seharga 10.600 dollar AS (kira-kira Rp 152 juta), sebelum menjualnya seharga 34.800 dollar AS (hampir Rp 500 juta).

Pada hari Senin yang sama, jpegdegenlove juga tercatat membeli 7 buah aset NFT dari koleksi Bored Ape Yacht Club, Mutant Ape Yacht Club, Cool Cats, dan Cyberkongz dengan total harga 133.000 dollar AS saja (setara Rp 1,9 miliar).

Padahal, menurut pantauan KompasTekno pada Selasa (25/1/2022) sore di situs OpenSea, koleksi Bored Ape Yacht Club memiliki floor price (harga terendah) 93 ETH atau setara 223.124 dollar AS (kira-kira Rp 3,2 miliar).

Floor price untuk NFT Bored Ape Yacht Club, Cool Cat, Cyberkongz juga cukup tinggi, yaitu berkisar Rp 290-583 juta.

Demi mendulang "cuan" yang lebih tinggi, hacker itu kemudian menjual kembali tujuh NFT tadi dengan harga 934.000 dollar AS (atau setara Rp 13,4 miliar) dalam bentuk Ethereum (ETH).

Beberapa jam setelahnya, Elliptic melaporkan hacker itu mengirim token ETH hasil penjual 7 NFT itu ke token Tornado Cash (TORN). Tujuannya untuk mencegah pelacakan dana di jaringan blockchain.

Hal ini dimungkinkan karena Tornado Cash menggunakan protokol yang dapat meningkatkan privasi dari transaksi di jaringan blockchain Ethereum yang seharusnya transparan.

Bug bikin NFT bisa "dihargai ulang"

Dari tiga kasus hacker di atas, Elliptic melaporkan, bug di OpenSea tampaknya memungkinkan hacker untuk mencatatkan ulang (re-listing) aset NFT yang dijual di OpenSea, namun dengan harga baru yang lebih murah.

Masalahnya, re-listing tersebut tidak serta merta menghapus listing NFT sebelumnya, di mana penjual mematok harga tinggi atau berdasarkan nilai pasar dari NFT tersebut.

Alhasil, hacker bisa "membeli" sejumlah NFT dengan harga yang jauh lebih rendah dari harga pasarannya.

Pasca kasus ini, jpegdegenlove dilaporkan telah memberikan kompensasi kepada dua pengguna OpenSea yang jadi korban serangannya kali ini.

Jpegdegenlove disebut telah mengirimkan 20 ETH (sekitar Rp 688,3 juta) ke pengguna dengan username "TBALLER" dan 13 ETH (setara Rp 447,5 juta) ke pengguna "Vault327".

Bug di OpenSea ini pertama kali dilaporkan muncul sejak beberapa minggu yang lalu. Namun, bug ini tampaknya baru benar-benar dimanfaatkan hacker baru-baru ini, sebagaimana dihimpun dari blog Elliptic, Rabu (26/1/2022).