O mercado OpenSea avisou alguns utilizadores da plataforma para que alterem as chaves utilizadas para as suas API (interfaces de programação de aplicações), depois de uma falha de segurança de terceiros as ter deixado vulneráveis a atacantes.
“Um dos nossos fornecedores sofreu um incidente de segurança que pode ter exposto informações sobre a sua chave de API OpenSea”, escreveu a empresa num e-mail enviado aos clientes.
OpenSea planeia mudar as chaves API na sequência de um incidente de segurança de terceiros, de acordo com um e-mail enviado aos utilizadores afectados. História a seguir. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) 23 de setembro de 2023
A partir de maio de 2023, o OpenSea classificou-se como o segundo maior mercado NFT por volume de negociação (36,5%), depois do Blur (56,8%), que foi lançado há quase um ano.
O OpenSea instruiu os usuários a “depreciar” imediatamente o uso de sua chave atual e substituí-la por uma nova, informando-os de que suas chaves atuais expirarão na segunda-feira, 2 de outubro.
Embora não se espere que a exploração tenha um “efeito imediato” na integração dos utilizadores com a plataforma, a OpenSea avisou que o acesso de terceiros poderia afetar a taxa atribuída e os limites de utilização das vítimas.
“As chaves API recém-geradas terão as mesmas permissões e limites de taxa que as chaves que estão a expirar”, acrescentou a OpenSea.
A plataforma não revelou quantos utilizadores foram afectados, ou se outros dados para além das chaves API podem estar em risco.
A violação segue-se a uma violação de segurança semelhante em um dos fornecedores terceirizados da Nansen, expondo os endereços de blockchain de alguns usuários, hashes de senha e endereços de e-mail. A plataforma de análise on-chain disse que 6,8% da sua base de utilizadores foi afetada.
Embora sem citar nomes, Nansen disse na época que o fornecedor é “usado por muitas empresas da Fortune 500”.
Em junho do ano passado, a OpenSea estava entre muitas empresas de criptografia que viram os e-mails dos clientes vazarem para partes não autorizadas após o erro de um funcionário que trabalhava com seu parceiro de entrega de e-mail, Customer.io. Quando os e-mails dos clientes das empresas de criptografia são comprometidos, os invasores costumam usá-los para promover golpes de phishing de aparência legítima para os clientes.
A OpenSea também viu seu servidor Discord ser hackeado em maio de 2022, com hackers empurrando uma falsa hortelã NFT alegando ser feita em parceria com o YouTube.
