OpenSea NFT 시장은 API에 대한 제3자의 위험을 경고합니다.

해독  NFT(대체 불가능한 토큰)를 위한 대규모 온라인 마켓플레이스인 OpenSea가 API 사용자에게 키를 교환해야 한다고 경고했다고 보고 했습니다. 그렇게 하든 안 하든 모든 키는 10월 2일에 만료됩니다. 

제3자 위험에 노출.

nth-party 리스크가 있는 경우입니다. 비트코인주의자  --nbsp ; 금요일에 OpenSea의 공급업체 중 하나인 블록체인 데이터 분석 회사인 Nansen이    자사 타사 공급업체 중 하나가 손상되었다는 사실을 공개했습니다 . 익명의 공급업체는 승인되지 않은 당사자가 "우리 플랫폼에 대한 고객 액세스를 제공하는 데 사용되는 계정"에 대한 관리자 권한을 얻었다고 Nansen에 알렸습니다. 난센 고객 중 약 6.8%가 영향을 받은 것으로 알려졌다. 따라서 OpenSea 고객에게 이는 위험 내의 위험인 경우입니다.

손상된 키의 중요성.

암호화가 제대로 작동하려면 안전하고 손상되지 않은 키가 필수적입니다. Cequence Security의 상주 해커인 Jason Kent는 다음과 같이 썼습니다. “암호화는 종종 전송 중인 데이터를 보호하는 데 도움이 되고 승인된 사용자가 보호된 데이터를 읽을 수 있도록 허용하지만 우리 모두는 그것이 하나의 이해에 중점을 두고 있다는 것을 알고 있습니다. .” 

Kent는 키의 장기간 사용을 허용하는 시스템이 본질적으로 이러한 종류의 손상에 취약하다고 봅니다. “자동으로 사용되는 시스템에서는 장기 액세스를 우선순위로 설정하는 경우가 많지만 여기에 표시된 것처럼 이는 잘못된 설계입니다. 데이터 저장소에 액세스할 수 있고 키가 손상된 경우 악의적인 제3자가 데이터를 획득할 수 있는 완벽한 폭풍이 존재합니다. 키 순환은 매우 중요합니다. 조기에 자주 이루어져야 하며, 장기간 키를 보관하면 이러한 유형의 침해가 발생할 수 있습니다.”

Traceable AI의 보안 연구 담당 SR 이사인 Anjum Ahuja는 API 키와 관련된 다른 문제를 지적했습니다. “API 키는 이중 인증이나 CAPTCHA와 같은 다른 보안 제어를 우회하여 플랫폼에 대한 무제한 액세스를 제공합니다. 더욱이 API 키는 범위가 지정되지 않는 경우가 많습니다. 즉, 사용 가능한 모든 API에 대한 완전한 액세스를 제공합니다. 공격자는 표적이 알아차리고 해결 조치를 취하기 전에 신속하게 공격을 자동화하고 실행할 수 있기 때문에 API를 악용하는 것을 좋아합니다.”

Ahuja는 “잘 설계된 API 키에는 읽기 또는 쓰기, 만료, 바람직하게는 IP 기반 액세스 제어 메커니즘과 같은 특정 기능 및 작업에 대한 명시적인 범위가 필요합니다. OAuth는 이러한 제어 기능 중 일부를 기본적으로 구현하므로 일반적으로 더 나은 인증 메커니즘입니다."