Торговая площадка OpenSea предупредила некоторых пользователей платформы о необходимости замены ключей, используемых для API (интерфейсов прикладного программирования), после того как в результате взлома системы безопасности стороннего поставщика они стали уязвимы для злоумышленников.
«У одного из наших поставщиков произошел инцидент, в результате которого информация о вашем API-ключе OpenSea могла быть раскрыта», — говорится в письме компании, направленном клиентам.
OpenSea планирует провести ротацию ключей API после инцидента с безопасностью стороннего поставщика, говорится в письме, разосланном пострадавшим пользователям. Продолжение следует. pic.twitter.com/a7ef0bXDd3
— Zack Abrams (@ZackDAbrams) September 23, 2023
По состоянию на май 2023 г. OpenSea занимала второе место по объему торгов (36,5%), уступая только Blur (56,8%), которая была запущена почти год назад.
OpenSea проинструктировала пользователей о необходимости немедленно «вывести из употребления» текущий ключ и заменить его новым, сообщив, что срок действия текущих ключей истекает в понедельник, 2 октября.
Хотя ожидается, что эксплойт не окажет «немедленного влияния» на интеграцию пользователей с платформой, OpenSea предупредила, что доступ третьих лиц может повлиять на выделенные жертвам тарифы и лимиты использования.
«Вновь сгенерированные API-ключи будут иметь те же разрешения и лимиты использования, что и ключи с истекающим сроком действия», — добавили в OpenSea.
Платформа не сообщила, сколько пользователей пострадали и могут ли подвергаться риску другие данные, помимо ключей API.
Вскоре после аналогичного взлома системы безопасности у одного из сторонних поставщиков Nansen были раскрыты блокчейн-адреса, хэши паролей и адреса электронной почты некоторых пользователей. По данным аналитической платформы, затронутыми оказались 6,8% ее пользовательской базы.
Не называя имен, компания Nansen заявила, что этот поставщик «используется многими компаниями из списка Fortune 500».
В июне прошлого года компания OpenSea стала одной из многих криптовалютных фирм, у которых произошла утечка электронной почты клиентов посторонним лицам после ошибки сотрудника, работавшего с партнером по доставке электронной почты Customer.io. Когда электронная почта клиентов криптовалютных компаний оказывается взломанной, злоумышленники часто используют ее для распространения среди клиентов фишинговых афер, выглядящих вполне правдоподобно.
В мае 2022 года был взломан сервер Discord компании OpenSea, на котором хакеры разместили фальшивый майнинг NFT, утверждая, что он был сделан в сотрудничестве с YouTube.