NFT Пазарът OpenSea предупреди някои потребители на платформата да сменят ключовете, използвани за техните API (интерфейси за програмиране на приложения), след като пробив в сигурността на трета страна ги направи уязвими за нападателите.
„Един от нашите доставчици е преживял инцидент със сигурността, който може да е изложил на риск информацията за вашия API ключ на OpenSea“, пише компанията в имейл до клиентите.
ОpenSea планира да ротира API ключовете след инцидент със сигурността на трети доставчик, според имейл, изпратен до засегнатите потребители. Предстои да проследите историята. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) September 23, 2023
Към май 2023 г. OpenSea се нарежда на второ място по обем на търговията с НФТ (36,5 %), на второ място след Blur (56,8 %), който стартира преди почти една година.
OpenSea инструктира потребителите незабавно да „обезценят“ използването на текущия си ключ и да го заменят с нов, като ги информира, че срокът на валидност на текущите им ключове изтича в понеделник, 2 октомври.
Въпреки че не се очаква експлойтът да има „непосредствен ефект“ върху интеграцията на потребителите с платформата, OpenSea предупреди, че достъпът на трети страни може да повлияе на разпределената скорост и ограниченията за използване на жертвите.
„Новогенерираните API ключове ще имат същите разрешения и лимити на скоростта като изтичащите ключове“, добави OpenSea.
Платформата не разкри колко потребители са засегнати и дали други данни освен API ключовете могат да бъдат изложени на риск.
Нарушението следва скоро след подобен пробив в сигурността на един от доставчиците на трети страни на Nansen, при който бяха изложени на риск блоковите адреси, хешовете на паролите и имейл адресите на някои потребители. Платформата за анализ на веригата заяви, че 6,8% от нейната потребителска база е била засегната.
Без да посочва имена, Nansen заяви тогава, че доставчикът е „използван от много компании от Fortune 500“.
През юни миналата година OpenSea беше сред многото криптофирми, чиито имейли на клиенти изтекоха към неоторизирани страни след грешка на служител, работещ с нейния партньор за доставка на имейли Customer.io. Когато имейлите на клиентите на криптофирмите са компрометирани, нападателите често ги използват за популяризиране на легитимно изглеждащи фишинг измами сред клиентите.
През май 2022 г. OpenSea също видя, че сървърът ѝ в Discord е хакнат, като хакерите прокараха фалшив NFT менте, твърдейки, че е направен в партньорство с YouTube.
