OpenSea NFT 市场警告其 API 存在第三方风险。

解密  据报道，不可替代代币 (NFT) 的大型在线市场 OpenSea 已警告其 API 的用户应该交换密钥。无论他们是否这样做，所有密钥都将在 10 月 2 日到期。 

暴露于第三方风险。

这是第n方风险的情况。比特币主义者——nbsp;周五报道称，OpenSea 的供应商之一，区块链数据分析公司 Nansen，  披露——nbsp；其自己的第三方供应商之一已受到损害。未透露姓名的供应商告知南森，未经授权的一方已获得“用于向客户提供对我们平台的访问权限的帐户”的管理权限。据称 Nansen 约 6.8% 的客户受到了影响。因此，对于 OpenSea 的客户来说，这是一个风险中的风险。

--nbsp；

泄露密钥的重要性。

--nbsp；

如果加密要正常发挥作用，安全、不被泄露的密钥至关重要。 Cequence Security 驻场黑客 Jason Kent 写道：“虽然加密技术通常有助于保护传输中的数据，并允许授权用户读取受保护的数据，但我们都知道它以一种理解为中心，我们必须保护密钥.” 

--nbsp；

肯特认为，允许长期使用密钥的系统本质上很容易受到这种损害。 “在自动使用的系统中，通常会优先考虑长期访问，但如此处所示，这是一个糟糕的设计。如果数据存储库可访问并且密钥被泄露，则存在完美风暴，恶意的第三方可以获取数据。轮换密钥非常重要，它应该尽早且经常发生，长期密钥存储是此类违规事件发生的原因。”

--nbsp；

Traceable AI 安全研究 SR 总监 Anjum Ahuja 指出了 API 密钥特有的其他问题。 “API 密钥提供对平台的不受限制的访问，绕过双因素身份验证或验证码等其他安全控制。此外，API 密钥通常是无范围的，即它们提供对所有可用 API 的完全访问。攻击者喜欢滥用 API，因为他们可以在目标注意到并采取补救措施之前快速自动化并执行攻击。”

--nbsp；

Ahuja 补充道：“设计良好的 API 密钥应该要求特定功能和操作（例如读或写）的明确范围、过期时间，以及最好是基于 IP 的访问控制机制。 OAuth 通常是一种更好的授权机制，因为它开箱即用地实现了其中一些控件。”