NFT tržiště OpenSea varovalo některé uživatele platformy, aby střídali klíče používané pro svá API (aplikační programová rozhraní) poté, co je kvůli narušení bezpečnosti třetí stranou učinili zranitelnými pro útočníky.
„U jednoho z našich dodavatelů došlo k bezpečnostnímu incidentu, který mohl odhalit informace o vašem klíči API OpenSea,“ napsala společnost v e-mailu zákazníkům.
Podle e-mailu zaslaného postiženým uživatelům plánuje společnost OpenSea v důsledku bezpečnostního incidentu třetí strany obměnit klíče API. Příběh bude následovat. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) 23. září 2023
V květnu 2023 se OpenSea umístilo na druhém místě podle objemu obchodů s NFT (36,5 %), na druhém místě za Blur (56,8 %), které bylo spuštěno téměř před rokem.
Společnost OpenSea dala uživatelům pokyn, aby okamžitě „vyřadili“ používání svého stávajícího klíče a nahradili jej novým, a informovala je, že platnost jejich stávajících klíčů vyprší v pondělí 2. října.
Ačkoli se neočekává, že by exploit měl „okamžitý dopad“ na integraci uživatelů s platformou, OpenSea varovala, že přístup třetích stran může ovlivnit přidělenou rychlost a limity využití obětí.
„Nově vygenerované klíče API budou mít stejná oprávnění a limity sazeb jako klíče, kterým končí platnost,“ dodala společnost OpenSea.
Platforma nesdělila, kolik uživatelů bylo postiženo, ani zda mohou být kromě klíčů API ohroženy i další údaje.
Narušení krátce následuje po podobném narušení bezpečnosti u jednoho z dodavatelů třetích stran společnosti Nansen, při kterém byly odhaleny adresy některých uživatelů v blockchainu, hashe hesel a e-mailové adresy. Analytická platforma on-chain uvedla, že postiženo bylo 6,8 % její uživatelské základny.
Společnost Nansen sice neuvedla jména, ale v té době uvedla, že tohoto dodavatele „využívá mnoho společností z žebříčku Fortune 500“.
V červnu loňského roku byla společnost OpenSea jednou z mnoha kryptografických firem, u nichž došlo k úniku e-mailů zákazníků k neoprávněným osobám v důsledku chyby zaměstnance spolupracujícího s partnerem pro doručování e-mailů, společností Customer.io. Pokud jsou e-maily zákazníků kryptografických firem kompromitovány, útočníci je často využívají k propagaci legitimně vypadajících podvodů na klienty.
V květnu 2022 došlo také k hacknutí serveru Discord společnosti OpenSea, přičemž hackeři prosazovali falešnou mincovnu NFT, která tvrdila, že byla vytvořena ve spolupráci s YouTube.
