NEAR Protocol, blockchain warstwy 1, powiadomił użytkowników, że dane SMS-ów i wiadomości e-mail używane jako opcje odzyskiwania w podstawowej ofercie portfela zostały w czerwcu ujawnione stronie trzeciej. W nowym raporcie, NEAR powiedział, że problem został rozwiązany, zanim wyrządzono jakąkolwiek szkodę.
Oferta portfela NEAR Protocol na wallet.near.org pozwala użytkownikom dodawać opcje odzyskiwania, w tym dane e-mail lub numery telefonów, do ich kont portfela kryptograficznego. Błąd w systemie przypadkowo ujawnił poufne dane osobie trzeciej.
NEAR powiedział, że jest w stanie szybko zaradzić tej sytuacji, usuwając dostęp do danych stronie trzeciej lub jej własnym pracownikom, dzięki czemu naruszenie nie zagraża bezpieczeństwu funduszy lub prywatności użytkowników.
„Zespół ds. Portfela natychmiast naprawił sytuację, wyczyścił wszystkie wrażliwe dane i zidentyfikował personel, który mógł mieć dostęp do tych danych” – powiedział zespół.
Błąd został zgłoszony 6 czerwca przez firmę audytującą bezpieczeństwo web3 o nazwie Hacxyk, która otrzymała nagrodę w wysokości 50,000 XNUMX dolarów. Mimo to Protokół NEAR zespół do tej pory nie udostępnił informacji.
Hacxyk powiedział The Block, że stroną trzecią był Mixpanel, usługa analityczna, z której korzystała firma NEAR. Hacxyk porównał incydent do trwającego Portfel Slope problem polegający na tym, że dane portfela zostały przypadkowo przesłane na scentralizowany serwer. Dodał, że w przypadku NEAR klucze prywatne również mogły zostać naruszone.
„Uważamy, że natura jest bardzo podobna do niedawnego włamania do portfela Slope na Solanie. Krótko mówiąc, frazy początkowe zostały nieświadomie ujawnione do zewnętrznej usługi analitycznej Mixpanel, gdy użytkownicy wybrali e-mail/SMS jako metodę odzyskiwania frazy początkowej. Oznacza to, że frazy początkowe użytkowników są przechowywane na serwerze Mixpanel” – powiedział Hacxyk.
Jako środek bezpieczeństwa, NEAR Protocol powiedział, że nie pozwala już użytkownikom tworzyć kont za pomocą poczty e-mail lub SMS w celu odzyskania konta. Doradzał również użytkownikom, którzy wcześniej korzystali z opcji odzyskiwania poczty e-mail lub SMS-ów w swoim portfelu NEAR, aby „obrócili klucze” lub dodali portfel sprzętowy, taki jak Ledger.
Według Hacxyka model konta w portfelu dla portfeli NEAR różni się nieco od Ethereum. Konto kryptograficzne może mieć wiele zestawów kluczy z różnymi uprawnieniami. Obracając klucze prywatne, NEAR mówi użytkownikom, aby odwołali potencjalnie wyciekające zestawy kluczy i dodali nowe, aby je zastąpić.
Współzałożyciel NEAR Protocol nie odpowiedział od razu na prośbę The Block o komentarz.
© 2022 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss