OpenSea ay currently sa ilalim ng pagsisiyasat pagkatapos lumabas ang mga ulat ng isang malaking kompromiso sa API nito. Noong Setyembre 23, 2023, maraming user ang dumating nang may pagkakaibarent mga mensahe na sinasabi nilang natanggap mula sa OpenSea, na nagpapaalerto sa kanila sa isang paglabag sa seguridad. Itinuro ng mga mensahe ang isang panghihimasok ng isa sa mga third-party na kasosyo ng OpenSea, na maaaring nagresulta sa pagkakalantad ng ilang sensitibong Mga API key.
Mga Panganib at Implikasyon
Ang mga kahihinatnan ng paglabag ay napakalawak. Ang mga nakalantad na API key ay maaaring magbigay-daan sa mga hindi awtorisadong tao na gumawa ng mga kahilingan sa ngalan ng mga lehitimong user ng OpenSea. Ang hindi awtorisadong pag-access ay maaaring magresulta sa maling paggamit ng mga serbisyo na binayaran na ng mga user.
Kinikilala ang kabigatan ng sitwasyon, hiniling ng OpenSea sa mga user nito na mabilis na i-deactivate ang kanilang API credentials. Bukod dito, ipinaalam ng platform sa mga user na ang anumang mga susi na bagong nabuo ay magkakaroon ng parehong mga paghihigpit at karapatan gaya ng mga nakompromiso.
Ang mga endpoint ng API ay may mahalagang papel sa pagpapatakbo ng mga ipinamahagi na app at mga serbisyo ng third-party, na tumutulong na mapadali ang maayos na komunikasyon sa mga server at iba pang malalayong network. Dahil sa mahalagang katangian ng mga endpoint na ito, ang naiulat na paglabag na ito ay nagdudulot ng malaking banta sa OpenSea at sa mga kasosyo nito sa B2B. Gayunpaman, habang sinusubukang bawasan ang mga takot, inilarawan ng OpenSea ang inci na iyondent bilang isang "pag-ikot ng mga key ng API," na tinitiyak sa lahat ng mga stakeholder na ang mga kasosyo ng platform ay mananatiling hindi maaapektuhan.
Parallels Sa Nansen
Sa kabila ng dumaraming alalahanin, hindi pa natutugunan ng OpenSea ang usapin sa publiko. Ang pangunahing account ng platform, at ang page na nakatuon sa API nito, ay nanatiling tahimik, na ginagawang magtaka ang mga user at ang komunidad dahil naiwan sila sa dilim.
Ang kakulangan ng komunikasyon ay kahawig ng isa pang senaryo na kinasasangkutan nansenSa renpagmamay-ari ng analytical platform sa industriya ng crypto. Dati, naglabas si Nansen ng notification tungkol sa pagtagas ng mga API key ng isang third-party na vendor.
Alex Svanevik, CEO ng Nansen, kinumpirma na isang pangunahing kumpanya ng Fortune 500 ang vendor na pinag-uusapan, bagama't hindi niya inihayag ang pangalan nito. Sinabi ni Svanevik na halos 6.8% ng mga user ng Nansen ang nakompromiso ang kanilang mga account dahil sa paglabag na iyon.
Ang Takeaway
Itinatampok ng mga kaganapang ito sa OpenSea ang mga pinagbabatayan na panganib na nauugnay sa mga third-party na partnership. Iginiit nito ang mahigpit na pangangailangan para sa mahigpit na mga protocol ng seguridad at napapanahong tugon sa mga posibleng pagbabanta. Ang pag-iwas ng OpenSea sa usapin ay nagpalaki na ngayon ng mga pangamba at haka-haka, na iginigiit ang kahalagahan ng transparency at komunikasyon sa mga kritikal na sitwasyong ito.
