O marketplace de NFT (Tokens Não Fungíveis) OpenSea emitiu um aviso para certos usuários de sua plataforma, solicitando que eles alterassem as chaves usadas para suas APIs (interfaces de programação de aplicativos) após uma violação de segurança de terceiros que os deixou vulneráveis a ataques.
A empresa escreveu em um e-mail para os clientes: “Um de nossos fornecedores teve um incidente de segurança que pode ter exposto informações sobre sua chave de API do OpenSea”.
Até maio de 2023, o OpenSea era o segundo maior marketplace de NFT em termos de volume de negociação (36,5%), atrás apenas do Blur (56,8%), que foi lançado quase um ano atrás.
O OpenSea instruiu os usuários a “descontinuar imediatamente” o uso de suas chaves atuais e substituí-las por novas, informando que suas chaves atuais expirariam em segunda-feira, 2 de outubro.
Embora não se espere que a exploração tenha um “efeito imediato” na integração dos usuários com a plataforma, o OpenSea alertou que o acesso de terceiros poderia afetar a taxa alocada e os limites de uso dos usuários.
“As chaves de API recém-geradas terão as mesmas permissões e limites de taxa que as chaves expiradas”, acrescentou o OpenSea.
A plataforma não revelou quantos usuários foram afetados ou se outros dados além das chaves de API podem estar em risco.
A violação se assemelha a uma falha de segurança em um dos fornecedores de terceiros da Nansen, expondo alguns endereços de blockchain, hashes de senhas e endereços de e-mail dos usuários. A plataforma de análise on-chain disse que 6,8% de sua base de usuários foi afetada.
Sem nomear nomes, a Nansen disse na época que o fornecedor é “usado por muitas empresas Fortune 500”.
Em junho do ano passado, o OpenSea foi uma das muitas empresas de criptomoedas a ver os e-mails de seus clientes vazarem para partes não autorizadas após um erro de um funcionário que trabalhava com seu parceiro de entrega de e-mail, Customer.io.
Quando os e-mails dos clientes das empresas de criptomoedas são comprometidos, os atacantes geralmente os usam para promover golpes de phishing que parecem legítimos para os clientes.
O OpenSea também teve seu servidor Discord hackeado em maio de 2022, com hackers promovendo uma falsa criação de NFT alegando ser feita em parceria com o YouTube.
*Traduzido com autorização do Decrypt.
- Quer ganhar mais com Ethereum? Abra sua conta no Mercado Bitcoin, a corretora mais segura do Brasil, e comece a fazer staking agora mesmo
