Il marketplace OpenSea ha avvertito alcuni utenti della piattaforma di ruotare le chiavi utilizzate per le loro API (interfacce di programmazione delle applicazioni) dopo che una violazione della sicurezza da parte di terzi le ha rese vulnerabili agli aggressori.
“Uno dei nostri fornitori ha subito un incidente di sicurezza che potrebbe aver esposto informazioni sulla vostra chiave API OpenSea”, ha scritto la società in un’e-mail ai clienti.
Secondo un’e-mail inviata agli utenti interessati, OpenSea prevede di ruotare le chiavi API in seguito a un incidente di sicurezza di terzi. La storia seguirà. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) September 23, 2023
A maggio 2023, OpenSea era il secondo mercato NFT per volume di scambi (36,5%), secondo a Blur (56,8%), lanciato quasi un anno fa.
OpenSea ha chiesto agli utenti di “deprecare” immediatamente l’uso della loro chiave attuale e di sostituirla con una nuova, informandoli che le chiavi attuali scadranno lunedì 2 ottobre.
Sebbene non si preveda che l’exploit abbia un “effetto immediato” sull’integrazione degli utenti con la piattaforma, OpenSea ha avvertito che l’accesso da parte di terzi potrebbe influire sulla velocità e sui limiti di utilizzo assegnati alle vittime.
“Le nuove chiavi API generate avranno gli stessi permessi e limiti di utilizzo delle chiavi in scadenza”, ha aggiunto OpenSea.
La piattaforma non ha rivelato quanti utenti siano stati colpiti, né se altri dati oltre alle chiavi API possano essere a rischio.
La violazione segue di poco un’analoga violazione della sicurezza presso uno dei fornitori terzi di Nansen, che ha esposto gli indirizzi blockchain, gli hash delle password e gli indirizzi e-mail di alcuni utenti. La piattaforma di analisi on-chain ha dichiarato che è stato colpito il 6,8% della sua base di utenti.
Pur non facendo nomi, Nansen ha dichiarato che il fornitore è “utilizzato da molte aziende Fortune 500”.
Nel giugno dello scorso anno, OpenSea è stata una delle tante società di criptovalute a vedere trapelare le e-mail dei clienti a persone non autorizzate, in seguito all’errore di un dipendente che lavorava con il suo partner per la consegna delle e-mail, Customer.io. Quando le e-mail dei clienti delle società di criptovaluta sono compromesse, gli aggressori spesso le usano per promuovere truffe di phishing dall’aspetto legittimo ai clienti.
Anche OpenSea ha visto il suo server Discord violato nel maggio del 2022, con gli hacker che hanno promosso una falsa menta NFT affermando di averla realizzata in collaborazione con YouTube.
