En Resumen
- OpenSea advierte a usuarios sobre una violación de seguridad de terceros y les insta a rotar sus claves de API.
- A pesar de la violación, no se espera un impacto inmediato en la experiencia de los usuarios, pero podría afectar las tasas y límites de uso.
- La plataforma no revela la cantidad de usuarios afectados ni otros posibles datos en riesgo, siguiendo incidentes similares en la industria de las criptomonedas.
El mercado de NFT OpenSea ha advertido a ciertos usuarios de la plataforma que roten las claves utilizadas para sus APIs (interfaces de programación de aplicaciones) después de una violación de seguridad de terceros que los dejó vulnerables a los atacantes.
"Uno de nuestros proveedores experimentó un incidente de seguridad que pudo haber expuesto información sobre sus claves de API de OpenSea", escribió la compañía en un correo electrónico a los clientes.
OpenSea plans to rotate API keys following a third-party security incident, according to an email sent to affected users. Story to follow. pic.twitter.com/a7ef0bXDd3
— Zack Abrams (@ZackDAbrams) September 23, 2023
A partir de mayo de 2023, OpenSea se ubicó como el segundo mercado de NFT más grande en volumen de operaciones (36.5%), después de Blur (56.8%), que lanzó hace casi un año.
OpenSea instruyó a los usuarios a "desaprobar" de inmediato el uso de sus claves actuales y reemplazarlas por una nueva, informándoles que sus claves expirarán el lunes 2 de octubre.
Si bien no se espera que la explotación tenga un "efecto inmediato" en la integración de los usuarios con la plataforma, OpenSea advirtió que el acceso de terceros podría afectar la tasa asignada a las víctimas y los límites de uso.
"Las nuevas claves de API generadas tendrán los mismos permisos y límites de tasa que las claves que están expirando", agregó OpenSea.
La plataforma no reveló cuántos usuarios se vieron afectados ni si otros datos además de las claves de API podrían estar en riesgo.
La violación de seguridad ocurre poco después de una violación de seguridad similar en uno de los proveedores de terceros de Nansen, que expuso las direcciones de blockchain, los hashes de contraseñas y las direcciones de correo electrónico de algunos usuarios. La plataforma de análisis on-chain dijo que el 6,8% de su base de usuarios se vio afectado.
Sin mencionar nombres, Nansen dijo en ese momento que el proveedor es "utilizado por muchas empresas Fortune 500".
En junio del año pasado, OpenSea fue uno de los muchos firmas de criptomonedas que vieron los correos electrónicos de sus clientes filtrados a partes no autorizadas después de un error de un empleado al trabajar con su socio de entrega de correo electrónico, Customer.io. Cuando los correos electrónicos de los clientes de las firmas de criptomonedas se ven comprometidos, los atacantes a menudo los utilizan para promover estafas de phishing que parecen legítimas a los clientes.
OpenSea también vio cómo su servidor de Discord fue hackeado en mayo de 2022, con hackers promocionando una falsa creación de NFT que afirmaba ser realizada en colaboración con YouTube.