OpenSea 的第三方安全漏洞使 API 用户容易受到攻击

2023-09-25 18:37

免责声明 免责声明:内容来源于网络收集,不构成任何投资建议!

OpenSea 已要求受影响的用户停止使用当前的API 密钥(这些密钥将于10 月2 日到期)并更换为新的API 密钥。

OpenSea 的第三方安全漏洞使 API 用户容易受到攻击

著名的NFT 市场OpenSea 向部分用户发出警告,敦促他们轮换应用程序编程接口(API) 密钥。该警告是在涉及第三方供应商的安全漏洞可能暴露其密钥之后发出的。

该公司在给客户的一封电子邮件中解决了这个问题,并指出:“我们的一个供应商经历了一次安全事件,可能泄露了有关您的OpenSea 的信息。

API 密钥信息。 ”

截至2023 年5 月,OpenSea 占据非同质代币(NFT)市场第二大份额,占交易量的36.5%。虽然OpenSea 曾经是市场领导者,但它落后于Blur,后者推出于近一年前,并于2023 年5 月占据了56.8% 的市场份额。

OpenSea 已指示受影响的用户立即停止使用当前的API 密钥并更换为新的API 密钥。根据该电子邮件,这些现有密钥将于10 月2 日星期一到期。

尽管OpenSea 向用户保证,安全漏洞预计不会对其平台集成产生“立即影响”,但该公司警告称,未经授权的第三方访问可能会影响用户的分配率和使用限制。该公司补充道,“新生成的API 密钥将具有与过期密钥相同的权限和速率限制。”

OpenSea 尚未透露受此次泄露影响的用户的确切数量,也未透露API 密钥以外的任何其他数据是否可能面临风险。

此次安全事件是在链上分析平台Nansen 发生类似漏洞之后发生的。 Nansen 透露,其第三方供应商之一遭到入侵,导致用户的区块链地址、密码哈希和电子邮件地址遭到泄露。 Nansen 约6.8% 的用户群受到此次泄露的影响。

虽然OpenSea 没有透露受影响供应商的名称,但Nansen 表示该供应商“被许多财富500 强公司使用”。

值得注意的是,这并不是OpenSea第一次面临安全挑战。去年,该平台因一名员工在与其电子邮件发送合作伙伴Customer.io 合作时犯下错误而导致客户的电子邮件地址被泄露。攻击者经常利用此类电子邮件漏洞来实施网络钓鱼诈骗。此外,OpenSea 的Discord 服务器于2022 年5 月遭到黑客攻击,黑客宣传声称与YouTube 合作的假NFT 铸币厂。