Der
NFT-Marktplatz OpenSea hat bestimmte Plattformnutzer gewarnt, die für ihre APIs (Application Programming Interfaces) verwendeten Schlüssel zu wechseln, nachdem ein Sicherheitsverstoß eines Drittanbieters sie anfällig für Angreifer gemacht hat.
„Bei einem unserer Anbieter ist ein Sicherheitsvorfall aufgetreten, der möglicherweise Informationen über Ihren OpenSea-API-Schlüssel offengelegt hat“, schrieb das Unternehmen in einer E-Mail an seine Kunden.
OpenSea plant, die API-Schlüssel nach einem Sicherheitsvorfall bei einem Drittanbieter zu ändern, wie aus einer E-Mail an die betroffenen Nutzer hervorgeht. Die Geschichte folgt. pic.twitter.com/a7ef0bXDd3
– Zack Abrams (@ZackDAbrams) September 23, 2023
Im Mai 2023 war OpenSea gemessen am Handelsvolumen der zweitgrößte NFT-Marktplatz (36,5 %) hinter Blur (56,8 %), das vor fast einem Jahr an den Start ging.
OpenSea wies die Nutzer an, ihren aktuellen Schlüssel sofort zu deaktivieren und durch einen neuen zu ersetzen, und informierte sie darüber, dass ihr aktueller Schlüssel am Montag, dem 2. Oktober, abläuft.
Es wird zwar nicht erwartet, dass der Exploit unmittelbare Auswirkungen auf die Integration der Nutzer in die Plattform hat, OpenSea warnte jedoch, dass der Zugriff durch Dritte die den Opfern zugewiesenen Raten und Nutzungsgrenzen beeinträchtigen könnte.
„Die neu generierten API-Schlüssel haben die gleichen Berechtigungen und Tarifbeschränkungen wie die auslaufenden Schlüssel“, so OpenSea weiter.
Die Plattform gab nicht bekannt, wie viele Nutzer betroffen sind oder ob neben den API-Schlüsseln auch andere Daten gefährdet sein könnten.
Die Sicherheitsverletzung folgt kurz auf eine ähnliche Sicherheitsverletzung bei einem von Nansens Drittanbietern, bei der die Blockchain-Adressen, Passwort-Hashes und E-Mail-Adressen einiger Nutzer offengelegt wurden. Die On-Chain-Analyseplattform gab an, dass 6,8 % ihrer Nutzerbasis betroffen waren.
Ohne Namen zu nennen, sagte Nansen damals, dass der Anbieter „von vielen Fortune-500-Unternehmen genutzt wird“.
Im Juni letzten Jahres gehörte OpenSea zu den vielen Kryptofirmen, bei denen die E-Mails von Kunden an Unbefugte durchgesickert waren, nachdem ein Mitarbeiter einen Fehler bei der Zusammenarbeit mit dem E-Mail-Zustellpartner Customer.io gemacht hatte. Wenn die Kunden-E-Mails von Kryptofirmen kompromittiert werden, nutzen Angreifer sie oft, um Kunden mit legitim aussehenden Phishing-Betrügereien zu locken.
Auch der Discord-Server von OpenSea wurde im Mai 2022 gehackt, wobei die Hacker eine gefälschte NFT-Münze verbreiteten, die behauptete, in Zusammenarbeit mit YouTube hergestellt worden zu sein.
