Cyberthreat.id – Ozzy Osbourne, penyanyi asal Inggris, tiga hari lalu baru saja mengeluarkan 9.666 koleksi non-fungible token (NFT) “CryptoBatz”.

Karya seni digital piksel berupa gambar kelelawar itu mengingatkan pada insiden vokalis heavy metal “Black Sabbath” itu menggigit putus kepala kelalawar di Iowa pada 1982.

Peluncuran NFT itu juga bertepatan dengan 40 tahun insiden kontroversial yang melambungkan namanya itu.

Tulisan ini tidak sedang membahas NFT Ozzy tersebut. Namun, bagaimana peretas menipu mentah-mentah pengguna yang ingin mengoleksi NFT itu.

Ini hal terbaik yang bisa dicamkan pengguna Indonesia yang belakangan sedang gandrung koleksi NFT sejak mahasiswa Semarang mendapatkan miliaran rupiah dari NFT.

Begini ceritanya.

Pada 31 Desember lalu, akun Twitter CryptoBatz (@CryptoBatzNFT) mengumumkan soal karya digital itu. Mereka juga me-retweet unggahan Ozzy terkait rencana perilisan koleksi NFT pekan ini. Di unggahan tersebut juga terlampir tautan pendek discord.gg/cryptobatznft.

Discord, platform obrolan daring, umum dipakai oleh komunitas NFT untuk bertransaksi. Di sinilah, masalah terjadi.

Akun Discord “CryptoBatz” ternyata telah berganti, tidak seperti yang dilampirkan pada cuitan awal. URL itu telah berganti baru discord.gg/cryptobatz.

Sayangnya, cuitan CryptoBatz sebelumnya telah menerima lebih dari 4.000 cuitan dan ratusan balasan.

Banyak pengguna tidak tahu dengan pergantian URL tersebut. Peretas ternyata telah memakai alamat itu untuk membuat Discord palsu. Yang membuat pengguna tak mengira itu penipuan, cuitan CryptoBatz dan Ozzy yang melampirkan URL lama tidak dihapus sejak pembaruan URL. Bahkan, baru dihapus pada 21 Januari setelah dikontak The Verge.

Tautan palsu itu mengarahkan ke panel undangan Discord dan memperlihatkan jumlah anggota sebanyak 1.330 saat The Verge menyelidiknya.

Selanjutnya, perangkat lunak community-management system token dari Collab.Land meminta pengguna untuk memverifikasi aset kriptonya ke server. Justru, pengguna diarahkan ke sebuah situsweb, yang akhirnya diketahui sebagai phishing yang menggondol kredensial dompet kripto pengguna.

Tim Silman, salah satu korban, memperkirakan sekitar US$300 di ETH terkuras dari dompet kriptonya setelah mengunjungi URL palsu itu. Alamat dompet Ethereum yang ditunjukkan Silam terkait penipuan ternyata telah menerima sejumlah transaksi masuk sebesar 14,6 ETH atau US$40.895 pada 20 Januari lalu.

Silman beberapa kali telah melaporkan itu ke akun Twitter CryptoBatz, tapi tak ada respons. “Ini pelajaran yang mahal, saya rasa,” kata dia.

Sutter Systems, pengembang NFT CryptoBatz, dalam emailnya justru menyalahkan Discord.

“Meski kami merasa sangat menyesal atas para korban penipuan, kami tidak bisa bertanggung jawab atas tindakan penipu yang mengeksploitasi Discord—platform yang sama sekali tidak bisa kami kendalikan,” kata Co-founder Sutter Systems, Jepeggi.

“Menurut pendapat kami, situasi seperti itu dan ratusan lainnya yang telah terjadi di proyek lain di ruang NFT dapat dengan mudah dicegah jika Discord memiliki tim respons/dukungan/penipuan yang lebih baik untuk membantu proyek besar seperti kami,” ia menjelaskan.

Discord mengatakan telah mengetahui insiden tersebut dan telah melakukan kontak dengan tim yang terkena dampak.

“Tim Trust & Safety kami berhubungan dengan pemilik server dan sedang menyelidiki insiden tersebut,” kata Peter Day, manajer senior untuk komunikasi korporat di Discord.

“Tim kami mengambil tindakan ketika kami mengetahui serangan seperti ini, termasuk melarang pengguna dan mematikan server,” ia menambahkan.[]