Rynek
NFT OpenSea ostrzegł niektórych użytkowników platformy, aby zmienili klucze używane do swoich interfejsów API (interfejsów programowania aplikacji) po tym, jak naruszenie bezpieczeństwa strony trzeciej naraziło ich na ataki.
„Jeden z naszych dostawców doświadczył incydentu bezpieczeństwa, który mógł ujawnić informacje o Twoim kluczu API OpenSea” – napisała firma w e-mailu do klientów.
OpenSea planuje rotację kluczy API po incydencie związanym z bezpieczeństwem strony trzeciej, zgodnie z e-mailem wysłanym do użytkowników, których to dotyczy. Historia do naśladowania. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) 23 września 2023
Od maja 2023 r. OpenSea był drugim co do wielkości rynkiem NFT pod względem wolumenu obrotu (36,5%), ustępując Blur (56,8%), który został uruchomiony prawie rok temu.
OpenSea poinstruował użytkowników, aby natychmiast „przestali używać” swojego obecnego klucza i zastąpili go nowym, informując ich, że ich obecne klucze wygasną w poniedziałek, 2 października.
Chociaż nie oczekuje się, że exploit będzie miał „natychmiastowy wpływ” na integrację użytkowników z platformą, OpenSea ostrzegł, że dostęp stron trzecich może wpłynąć na przydzieloną ofiarom stawkę i limity użytkowania.
„Nowo wygenerowane klucze API będą miały te same uprawnienia i limity stawek, co wygasające klucze” – dodał OpenSea.
Platforma nie ujawniła, ilu użytkowników zostało dotkniętych, ani czy inne dane poza kluczami API mogą być zagrożone.
Naruszenie bezpieczeństwa nastąpiło wkrótce po podobnym naruszeniu bezpieczeństwa u jednego z zewnętrznych dostawców Nansen, ujawniając adresy blockchain niektórych użytkowników, skróty haseł i adresy e-mail. Platforma analityczna on-chain podała, że dotyczyło to 6,8% jej bazy użytkowników.
Nie wymieniając nazwisk, Nansen powiedział wówczas, że dostawca jest „używany przez wiele firm z listy Fortune 500”.
W czerwcu ubiegłego roku OpenSea była jedną z wielu firm kryptowalutowych, w których e-maile klientów wyciekły do nieautoryzowanych stron po błędzie pracownika współpracującego z partnerem dostarczającym pocztę e-mail, Customer.io. Kiedy e-maile klientów firm kryptowalutowych są zagrożone, atakujący często wykorzystują je do promowania legalnie wyglądających oszustw phishingowych wśród klientów.
OpenSea widział również włamanie na swój serwer Discord w maju 2022 r., A hakerzy wypchnęli fałszywą miętę NFT, twierdząc, że została wykonana we współpracy z YouTube.