La place de marché
NFT OpenSea a averti certains utilisateurs de sa plateforme qu’ils devaient changer les clés utilisées pour leurs API (interfaces de programmation d’applications) après qu’une faille de sécurité d’un tiers les ait rendues vulnérables aux attaquants.
« L’un de nos fournisseurs a connu un incident de sécurité qui a pu exposer des informations sur votre clé API OpenSea », a écrit l’entreprise dans un courriel adressé à ses clients.
OpenSea prévoit une rotation des clés API suite à un incident de sécurité d’un tiers, selon un email envoyé aux utilisateurs concernés. Histoire à suivre. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) Le 23 septembre 2023
Au mois de mai 2023, OpenSea était la deuxième place de marché NFT en termes de volume d’échanges (36,5 %), juste derrière Blur (56,8 %), qui a été lancée il y a près d’un an.
OpenSea a demandé aux utilisateurs d’abandonner immédiatement l’utilisation de leur clé actuelle et de la remplacer par une nouvelle, en les informant que leurs clés actuelles expireront le lundi 2 octobre.
Bien que l’exploit ne devrait pas avoir d’effet immédiat sur l’intégration des utilisateurs à la plateforme, OpenSea a averti que l’accès d’un tiers pourrait affecter le taux alloué aux victimes et les limites d’utilisation.
« Les clés API nouvellement générées auront les mêmes permissions et limites de taux que les clés qui expirent », a ajouté OpenSea.
La plateforme n’a pas révélé combien d’utilisateurs étaient concernés, ni si d’autres données que les clés API pouvaient être menacées.
La brèche suit de peu une brèche de sécurité similaire chez l’un des fournisseurs tiers de Nansen, exposant les adresses blockchain, les hachages de mots de passe et les adresses électroniques de certains utilisateurs. La plateforme d’analyse on-chain a déclaré que 6,8 % de sa base d’utilisateurs avait été affectée.
Sans citer de noms, Nansen a déclaré à l’époque que le fournisseur était « utilisé par de nombreuses entreprises du classement Fortune 500 ».
En juin de l’année dernière, OpenSea a été l’une des nombreuses entreprises de cryptographie à voir les courriels de ses clients divulgués à des parties non autorisées à la suite d’une bévue d’un employé travaillant avec son partenaire de livraison de courriels, Customer.io. Lorsque les courriels des clients des entreprises de cryptographie sont compromis, les attaquants les utilisent souvent pour promouvoir des escroqueries par hameçonnage d’apparence légitime auprès des clients.
OpenSea a également vu son serveur Discord piraté en mai 2022, les pirates diffusant un faux NFT mint prétendant être réalisé en partenariat avec YouTube.
