OpenSea NFT 市場警告其 API 有第三方風險。

解密  據報道，不可替代代幣 (NFT) 的大型線上市場 OpenSea 已警告其 API 的用戶應該交換金鑰。無論他們是否這樣做，所有密鑰都將在 10 月 2 日到期。 

暴露於第三方風險。

--nbsp；

這是第n方風險的情況。比特幣主義者——nbsp;週五報導稱，OpenSea 的供應商之一，區塊鏈數據分析公司 Nansen，  透露－nbsp；其自己的第三方供應商之一已受到損害。未透露姓名的供應商告知南森，未經授權的一方已獲得「用於向客戶提供對我們平台的存取權限的帳戶」的管理權限。據稱 Nansen 約 6.8% 的客戶受到了影響。因此，對於 OpenSea 的客戶來說，這是一個風險中的風險。

--nbsp；

--nbsp；

洩漏密鑰的重要性。

--nbsp；

如果加密要正常發揮作用，安全、不洩漏的金鑰至關重要。 Cequence Security 駐場駭客Jason Kent 寫道：「雖然加密技術通常有助於保護傳輸中的數據，並允許授權用戶讀取受保護的數據，但我們都知道它以一種理解為中心，我們必須保護密鑰.” 

肯特認為，允許長期使用密鑰的系統本質上容易受到這種損害。 「在自動使用的系統中，通常會優先考慮長期訪問，但如此處所示，這是一個糟糕的設計。如果資料儲存庫可存取且金鑰被洩露，則存在完美風暴，惡意的第三方可以獲得資料。輪換密鑰非常重要，它應該儘早且經常發生，長期密鑰存儲是此類違規事件發生的原因。”

Traceable AI 安全性研究 SR 總監 Anjum Ahuja 指出了 API 金鑰特有的其他問題。 「API 金鑰提供對平台的不受限制的訪問，繞過雙重認證或驗證碼等其他安全控制。此外，API 金鑰通常是無範圍的，即它們提供對所有可用 API 的完全存取。攻擊者喜歡濫用 API，因為他們可以在目標注意到並採取補救措施之前快速自動化並執行攻擊。”

Ahuja 補充說：「設計良好的 API 金鑰應該要求特定功能和操作（例如讀取或寫入）的明確範圍、過期時間，以及最好是基於 IP 的存取控制機制。 OAuth 通常是一種更好的授權機制，因為它開箱即用地實現了其中一些控制項。”