OpenSea NFT マーケットは、API に対するサードパーティのリスクについて警告しています。

復号化     は、代替不可能なトークン (NFT) の大規模なオンライン マーケットプレイスである OpenSea が、その API のユーザーにキーを交換する必要があると警告したと報告しています。そうするかどうかに関係なく、すべてのキーは 10 月 2 日に期限切れになります。 

第三者リスクにさらされる。

これは第三者リスクのケースです。ビットコイン主義者    金曜日、OpenSea のベンダーの 1 つであるブロックチェーン データ分析会社ナンセンが   と報じた。  自社のサードパーティ ベンダーの 1 つが侵害されていたことを明らかにしました。匿名のベンダーは、無許可の第三者が「当社のプラットフォームへの顧客アクセスを提供するために使用されるアカウント」の管理者権限を取得したとナンセンに通知しました。ナンセンの顧客の約6.8％が影響を受けたという。したがって、OpenSea の顧客にとって、これはリスクの中にリスクが存在するケースです。

侵害されたキーの重要性。

暗号化が適切に機能するためには、安全で妥協のないキーが不可欠です。 Cequence Security の常駐ハッカーであるジェイソン・ケント氏は、次のように書いています。 」 

Kent 氏は、キーの長期使用を許可するシステムは本質的にこの種の侵害に対して脆弱であると考えています。 「自動的に使用されるシステムでは、長期アクセスを優先して設定されることがよくありますが、ここに示すように、これは不適切な設計です。データ リポジトリにアクセスでき、キーが侵害されると、悪意のあるサードパーティによってデータが取得される可能性がある完全な嵐が発生します。鍵のローテーションは非常に重要であり、早期に頻繁に行うべきであり、長期的な鍵の保管によりこの種の侵害が発生する可能性があります。」

Traceable AI のセキュリティ リサーチ担当 SR ディレクターである Anjum Ahuja 氏は、API キーに特有の他の問題を指摘しました。 「API キーは、2 要素認証や CAPTCHA などの他のセキュリティ制御をバイパスして、プラットフォームへの無制限のアクセスを提供します。さらに、多くの場合、API キーにはスコープが設定されていません。つまり、API キーは、利用可能なすべての API への完全なアクセスを許可します。攻撃者は、ターゲットが気づいて是正措置を講じる前に攻撃を迅速に自動化して実行できるため、API の悪用を好みます。」

アフジャ氏はさらに、「適切に設計された API キーには、読み取りや書き込み、有効期限などの特定の機能とアクションの明示的なスコープが必要であり、できれば IP ベースのアクセス制御メカニズムが必要です。 OAuth はこれらの制御の一部をすぐに実装できるため、一般に優れた認証メカニズムです。」