Web2 dünyasında kullanıcılara sızıntılar son birkaç yıla kadar bildirilmezken, kişisel verilerin korunması gibi kanunların yaygınlaşmasıyla şirketlerin saldırıya uğraması durumunda kullanıcılarına bilgi vermesi zorunlu hale geldi. Web3 dünyasında da durum farklı değil. NFT pazarı OpenSea, bazı kullanıcılarına gönderdiği bir e-postada üçüncü taraf kaynaklı API sızıntısı olabileceğinden bahsetti.
Kullanıcıların API anahtarlarının sızdırılmış olabileceği şüphesi üzerine yetkililer, bu anahtarların hızlı bir şekilde değiştirilmesini talep etti. Sızıntının, OpenSea API anahtarı kullanan herhangi bir programı etkilemesinin beklenmediği ancak 2 Ekim tarihinden itibaren anahtarların güncelleneceği açıklandı.
Platformun gönderdiği mailde, sızıntıdan kaç kişinin etkilendiği belirtilmedi. Bu durum, kripto analiz firması Nansen’in üçüncü taraf iş ortaklarından hacklendiğini duyurduğu ve tüm kullanıcıların %6,8’inin olaydan etkilendiği belirtildiği bir dönemde gerçekleşti.
API, bir kod iletişim yapısı olup, şifreyle giriş yaptığımız platformlarla kod aracılığıyla şifresiz işlem gerçekleştirebilme yeteneği sağlar. Her platformun kendi API yapıları bulunmaktadır. Bu anahtarlar, kullanıcıların yazılım aracılığıyla işlem yapabilmesine olanak sağlar. Kullanıcıların bu anahtarları şifreler gibi görmesi ve koruması gerekmektedir.
API yetkilerinin doğru bir şekilde ayarlanması gerekmektedir. Tam yetkiye sahip anahtarların üçüncü taraflarla uygulamalar aracılığıyla paylaşılması önemli riskler içermektedir. Transfer yetkisi tanımlanmış veya daha kısıtlı anahtarların trade botlarının hacklenmesiyle ele geçirildiği ve insanların milyonlarca dolar kaybettiği birçok kez görülmüştür.
