NFTのマーケットプレイスOpenSeaは、サードパーティのセキュリティ侵害により、API(アプリケーション・プログラミング・インターフェース)に使用されているキーが攻撃者にとって脆弱な状態になったことを受け、特定のプラットフォームユーザーに対し、APIに使用されているキーをローテーションするよう警告した。
“当社のベンダーの1社がセキュリティインシデントに見舞われ、OpenSeaのAPIキーに関する情報が流出した可能性があります。
OpenSeaはサードパーティのセキュリティインシデントを受けてAPIキーのローテーションを計画している。後日談。pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) 2023年9月23日
2023年5月現在、OpenSeaは取引高(36.5%)で、ほぼ1年前に開設されたBlur(56.8%)に次ぐ第2位のNFTマーケットプレイスとなっている。
OpenSeaはユーザーに対し、現在のキーの使用を直ちに「非推奨」とし、新しいキーに交換するよう指示し、現在のキーが10月2日(月)に失効することを通知した。
このエクスプロイトがユーザーのプラットフォームとの統合に「直ちに影響する」ことはないと予想されるが、OpenSeaはサードパーティのアクセスが被害者の割り当てレートや利用制限に影響を与える可能性があると警告した。
「新しく生成されたキーのAPIキーは、期限切れのキーと同じ権限と料金制限を持つことになる」とOpenSeaは付け加えた。
同プラットフォームは、影響を受けたユーザーの数や、APIキー以外のデータが危険にさらされる可能性があるかどうかについては明らかにしていない。
今回の情報漏えいは、Nansenのサードパーティベンダーの1社で同様のセキュリティ侵害があり、一部のユーザーのブロックチェーンアドレス、パスワードハッシュ、メールアドレスが流出したのに続くものだ。オンチェーン分析プラットフォームは、ユーザーベースの6.8%が影響を受けたと述べた。
名前こそ挙げていないが、ナンセンは当時、このベンダーは “フォーチュン500社の多くが利用している “と述べた。
昨年6月、OpenSeaは、電子メール配信パートナーであるCustomer.ioの従業員の不手際により、顧客の電子メールが不正に流出した多くの暗号企業のひとつであった。暗号化企業の顧客Eメールが漏洩すると、攻撃者はしばしばそれを使って、正当なように見えるフィッシング詐欺を顧客に宣伝する。
OpenSeaは2022年5月にもDiscordサーバーがハッキングされ、ハッカーがYouTubeとの提携を謳った偽のNFTミントを押し付けた。
