NFT marktplaats OpenSea heeft bepaalde platformgebruikers gewaarschuwd om de sleutels die worden gebruikt voor hun API’s (application programming interfaces) te roteren nadat een beveiligingslek bij een derde partij hen kwetsbaar maakte voor aanvallers.
“Een van onze leveranciers heeft een beveiligingsincident meegemaakt dat mogelijk informatie over uw OpenSea API-sleutel heeft blootgelegd,” schreef het bedrijf in een e-mail aan klanten.
OpenSea is van plan om de API-sleutels te roteren na een beveiligingsincident bij een derde partij, aldus een e-mail aan getroffen gebruikers. Verhaal volgt. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) September 23, 2023
In mei 2023 was OpenSea de op één na grootste NFT marktplaats qua handelsvolume (36,5%), na Blur (56,8%), dat bijna een jaar geleden van start ging.
OpenSea instrueerde gebruikers om het gebruik van hun huidige sleutel onmiddellijk stop te zetten en te vervangen door een nieuwe, en informeerde hen dat hun huidige sleutel op maandag 2 oktober zal verlopen.
Hoewel de exploit naar verwachting geen “onmiddellijk effect” zal hebben op de integratie van gebruikers met het platform, waarschuwde OpenSea dat toegang door derden van invloed zou kunnen zijn op de toegewezen tarieven en gebruikslimieten van slachtoffers.
“De nieuw gegenereerde API-sleutels zullen dezelfde rechten en gebruikslimieten hebben als de verlopen sleutels”, voegde OpenSea toe.
Het platform maakte niet bekend hoeveel gebruikers getroffen zijn en of er naast de API-sleutels nog andere gegevens in gevaar zijn.
De inbreuk volgt kort op een soortgelijke inbreuk op de beveiliging bij een van de externe leveranciers van Nansen, waarbij de blockchainadressen, wachtwoordhashes en e-mailadressen van sommige gebruikers werden blootgelegd. Het on-chain analyseplatform zei dat 6,8% van zijn gebruikers was getroffen.
Nansen noemde geen namen, maar zei toen dat de leverancier “gebruikt wordt door veel Fortune 500 bedrijven”.
In juni vorig jaar was OpenSea één van de vele cryptobedrijven die zag dat de e-mails van klanten uitlekten naar onbevoegden na een blunder van een werknemer bij het werken met zijn partner voor het bezorgen van e-mails, Customer.io. Wanneer de e-mails van klanten van cryptobedrijven gecompromitteerd zijn, gebruiken aanvallers deze vaak om legitiem uitziende phishing-zwendel bij klanten aan te prijzen.
OpenSea zag ook zijn Discord-server gehackt worden in mei 2022, waarbij hackers een nep NFT-munt pushten die beweerde te zijn gedaan in samenwerking met YouTube.
