El mercado
NFT OpenSea ha advertido a ciertos usuarios de la plataforma que roten las claves utilizadas para sus API (interfaces de programación de aplicaciones) después de que una brecha de seguridad de terceros las dejara vulnerables a los atacantes.
«Uno de nuestros proveedores experimentó un incidente de seguridad que puede haber expuesto información sobre su clave API de OpenSea», escribió la compañía en un correo electrónico a los clientes.
OpenSea planea rotar las claves API tras un incidente de seguridad de terceros, según un correo electrónico enviado a los usuarios afectados. Historia a seguir. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) 23 de septiembre de 2023
En mayo de 2023, OpenSea era el segundo mayor mercado de NFT por volumen de operaciones (36,5%), por detrás de Blur (56,8%), que se lanzó hace casi un año.
OpenSea ordenó a los usuarios que dejaran de utilizar inmediatamente su clave actual y la sustituyeran por una nueva, informándoles de que sus claves actuales caducarán el lunes 2 de octubre.
Aunque no se espera que el exploit tenga un «efecto inmediato» en la integración de los usuarios con la plataforma, OpenSea advirtió de que el acceso de terceros podría afectar a la tarifa asignada y a los límites de uso de las víctimas.
«Las claves API recién generadas tendrán los mismos permisos y límites de tarifa que las claves que caducan», añadió OpenSea.
La plataforma no reveló cuántos usuarios se vieron afectados, ni si otros datos además de las claves API pueden estar en riesgo.
La brecha se produce poco después de una brecha de seguridad similar en uno de los proveedores externos de Nansen, que expuso las direcciones de blockchain, los hashes de contraseñas y las direcciones de correo electrónico de algunos usuarios. La plataforma de análisis de la cadena dijo que el 6,8% de su base de usuarios se vio afectada.
Aunque no dio nombres, Nansen dijo en ese momento que el proveedor es «utilizado por muchas empresas de Fortune 500.»
En junio del año pasado, OpenSea fue una de las muchas empresas de criptomonedas que vieron filtrados los correos electrónicos de sus clientes a partes no autorizadas tras un error de un empleado que trabajaba con su socio de entrega de correo electrónico, Customer.io. Cuando los correos electrónicos de los clientes de las criptomonedas se ven comprometidos, los atacantes suelen utilizarlos para promocionar estafas de phishing con apariencia legítima entre los clientes.
OpenSea también vio su servidor de Discord hackeado en mayo de 2022, con los hackers empujando una falsa menta NFT afirmando que se hizo en colaboración con YouTube.
