Hacker Kembalikan NFT BAYC dan MAYC yang Dicuri Setelah Diberi Tebusan
Hacker yang mencuri non-fungible token (NFT) senilai hampir $3 juta, telah mengembalikan semua aset curiannya, setelah menerima tebusan, sesuai jumlah yang mereka minta.
Insiden pencurian terjadi pada hari Sabtu (16/12), yang menargetkan perdagangan peer-to-peer NFT Trader. Dalam serangan itu, penyerang mencuri 18 NFT Mutant Ape Yacht Club (MAYC) dan 36 token Bored Ape Yacht Club (BAYC).
Penyerang kemudian merilis pesan publik, yang menyatakan motivasi dan niat mereka dalam pencurian tersebut. Penyerang mengklaim bahwa mereka awalnya menargetkan platform tersebut untuk mengumpulkan "sampah sisa." Namun, mereka kemudian menemukan peluang untuk mencuri NFT.
Meskipun mengakui bahwa NFT tersebut sangat berharga, mereka mengklaim tidak tertarik dengan nilainya. Sebaliknya, mereka meminta uang tebusan untuk mengembalikan aset tersebut. "Saya orang baik, nilai NFT ini cukup bagi seseorang untuk menjalani kehidupan yang bebas, tapi saya tidak peduli tentang itu. Saya lebih suka mengambil sampah sisa," tulisnya.
"Jika Anda ingin NFT ini kembali maka Anda harus membayar saya 120 ETH ... kemudian saya akan mengirimkan NFT kepada Anda. Sesederhana itu, dan saya tidak pernah berbohong, percayalah," tambahnya.
Semua NFT Dikembalikan
Beberapa jam setelah peretasan, semua NFT BAYC dan MAYC yang dicuri berhasil dipulihkan, setelah peretas menerima tebusan sebesar 120 ETH senilai Rp4 miliar, berdasarkan harga ETH saat ini. Upaya pengembalian NFT ini dipimpin oleh Boring Security, proyek keamanan Web3 nirlaba yang didanai oleh ApeCoin.
"Semua 36 BAYC dan 18 MAYC yang dimiliki pengeksploitasi sekarang menjadi milik kami. Kami mengiriminya (peretas) 10% dari harga dasar koleksi tersebut sebagai hadiah," tulis tim Boring Security di X (Twitter).
Hadiah itu dibayarkan oleh Greg Solano, salah satu pendiri Yuga Labs, pencipta koleksi NFT yang dicuri. Setelah upaya pemulihan, NFT tersebut kemudian dikembalikan ke pemilik aslinya secara gratis.
Menurut Foobar, pendiri dan pengembang pseudonim Delegate, serangan itu terkait dengan kerentanan dalam smart contract yang diperbarui 11 hari sebelum kejadian. Peningkatan ini memungkinkan penyalahgunaan fitur multicall, sehingga memungkinkan transfer NFT yang tidak sah.
Setelah insiden itu, pengguna diperintahkan untuk mencabut semua izin yang diberikan pada dua kontrak lama, yaitu: 0xc310e760778ecbca4c65b6c559874757a4c4ece0 dan 0x13d8faF4A690f5AE52E2D2C52938d1167057B9af. Foobar mengatakan bahwa NFT bisa dicuri lagi jika persetujuan tidak dicabut.