Cyberthreat.id – Pasar non-fungible token (NFT) terbesar, OpenSea mengungkapkan bahwa pihaknya mengalami pelanggaran data dan memperingatkan pengguna akan serangan phishing yang menargetkan mereka.

OpenSea merupakan salah satu pasar NFT, yang memiliki lebih dari 600.000 pengguna dan volume transaksi yang melampaui $20 miliar.

Dikutip dari Bleeping Computer, Kepala Keamanan perusahaan, Cory Hardman, mengatakan bahwa seorang karyawan Customer.io, vendor pengiriman email platform, mengunduh alamat email milik pengguna OpenSea dan pelanggan buletin.

Tidak hanya mencuri alamat email saja, pelaku juga membagikan alamat email tersebut dengan pihak eksternal yang tidak berwenang, Hardman mendesak pengguna yang berpotensi terpengaruh untuk waspada terhadap upaya phishing yang meniru OpenSea.

“Jika Anda telah membagikan email Anda dengan OpenSea di masa lalu, Anda harus berasumsi bahwa Anda terkena dampaknya dan lebih waspada,” ungkap Hardman.

Hardman mengatakan saat ini pihaknya sedang bekerja dengan Customer.io dalam penyelidikan yang sedang berlangsung terkait insiden ini. Pihaknya pun telah melaporkan kejadian ini ke penegak hukum agar dapat diproses sesuai dengan hukum yang berlaku.

“Karena kompromi data termasuk alamat email, mungkin ada kemungkinan tinggi untuk upaya phishing email,” kata Hardman.

Hardman menyebutkan, pihaknya telah meminta pengguna untuk mencari email yang dikirim dari domain yang dapat digunakan oleh pelaku jahat untuk menipu domain email resmi OpenSea, opensea.io. Contoh domain yang dapat digunakan dalam serangan phishing yang menargetkan pengguna OpenSea termasuk opensea.org, opensea.xyz, dan opeansae.io.

Hardman juga membagikan serangkaian rekomendasi keamanan yang akan membantu mempertahankan diri dari upaya phishing yang menyarankan mereka untuk curiga terhadap setiap email yang mencoba meniru OpenSea, tidak mengunduh dan membuka lampiran email, dan untuk memeriksa URL halaman yang ditautkan dalam email OpenSea.

Tidak hanya itu saja, pengguna juga diimbau untuk tidak pernah membagikan atau mengonfirmasi kata sandi atau frasa dompet rahasia mereka dan tidak pernah menandatangani transaksi dompet jika diminta langsung melalui email.

“Kami ingin berbagi informasi yang kami miliki saat ini, dan kami telah melaporkan insiden tersebut ke penegak hukum dan bekerja sama dalam penyelidikan mereka,” tambah Hardman.

Sebelumnya, pengguna OpenSea telah ditargetkan oleh aktor ancaman yang menyamar sebagai staf pendukung palsu dan oleh serangan phishing yang menyebabkan lebih dari selusin pengguna tanpa ratusan NFT senilai sekitar $2 juta.

Pada bulan September, OpenSea juga menutup bug yang dapat membuat penyerang mengosongkan dompet cryptocurrency pemilik akun OpenSea dengan memikat mereka untuk mengklik seni NFT yang berbahaya.