Otvoreno more je currenpod lupom nakon što su se pojavili izvještaji o velikom kompromisu u njegovom API-ju. Dana 23. septembra 2023. mnogi korisnici su se javili sa razlikamarent poruke za koje tvrde da su ih primili od OpenSea-a, upozoravajući ih na kršenje sigurnosti. Poruke su upućivale na upad jednog od OpenSea-ovih nezavisnih partnera, što je moglo rezultirati izlaganjem nekih osjetljivih API ključevi.
Rizici i implikacije
Posljedice kršenja su dalekosežne. Izloženi API ključevi mogu omogućiti neovlaštenim osobama da upućuju zahtjeve u ime legitimnih OpenSea korisnika. Neovlašteni pristup može dovesti do zloupotrebe usluga koje su korisnici već platili.
Prepoznajući ozbiljnost situacije, OpenSea je zatražio od svojih korisnika da brzo deaktiviraju svoj API credentials. Štaviše, platforma je informisala korisnike da će svi ključevi koji su novo generisani imati ista ograničenja i prava kao i kompromitovani.
API krajnje tačke igraju integralnu ulogu u radu distribuiranih aplikacija i usluga trećih strana, pomažući da se olakša nesmetana komunikacija sa serverima i drugim udaljenim mrežama. S obzirom na ključnu prirodu ovih krajnjih tačaka, ova prijavljena povreda predstavlja veliku prijetnju za OpenSea i njegove B2B partnere. Ipak, dok pokušava da smanji strahove, OpenSea je opisao taj incident kao „rotacija API ključeva“, uveravajući sve zainteresovane strane da će partneri platforme uglavnom ostati nepromenjeni.
Paralele sa Nansenom
Uprkos sve većoj zabrinutosti, OpenSea tek treba javno da se pozabavi ovim pitanjem. Glavni nalog platforme, i njena stranica fokusirana na API, ostali su nemi, što je korisnike i zajednicu natjeralo da se pitaju jer su ostavljeni u mraku.
Nedostatak komunikacije liči na drugi scenario koji uključuje nansen, a renu vlasništvu analitičke platforme u kripto industriji. Prethodno je Nansen izdao obavještenje o curenju API ključeva od strane dobavljača treće strane.
Alex Svanevik, Nansenov izvršni direktor, potvrdio je da je glavna kompanija sa liste Fortune 500 u pitanju, iako nikada nije otkrio njeno ime. Svanevik je rekao da je skoro 6.8% Nansenovih korisnika kompromitovano zbog tog kršenja.
The poneti
Ovi događaji na OpenSea-u ističu osnovne rizike povezane s partnerstvima trećih strana. Inzistira na hitnoj potrebi za strogi sigurnosni protokoli i pravovremene reakcije na moguće prijetnje. Uzdržanost OpenSea po tom pitanju sada je pojačala strahove i spekulacije, insistirajući na važnosti transparency i komunikacija u ovim kritičnim situacijama.
