Near Protocol ujawnia naruszenie portfela, które mogło ujawnić klucze prywatne

Sieć Blockchain W pobliżu protokołu ujawnił wykryte w czerwcu naruszenie bezpieczeństwa, które mogło spowodować, że serwis zewnętrzny uzyskał dostęp do fraz źródłowych dla użytkownika portfele.

Blisko udostępnił post na blogu w czwartek o włamaniu, o którym 6 czerwca poinformowała zespół firma ochroniarska Hacxyk. W tym czasie platforma pozwalała użytkownikom ustawić adres e-mail lub numer telefonu jako opcję odzyskiwania bliskiego portfela, umożliwiając im odzyskanie dostępu do portfela za pośrednictwem poczty e-mail lub SMS-a.

Jednak system odzyskiwania potencjalnie ujawnił frazy początkowe użytkowników — klucze prywatne używane do odzyskania dostępu do portfela kryptograficznego — w trakcie tego procesu. Według wątek na Twitterze od Hacxyk, użycie opcji odzyskiwania wiadomości e-mail spowodowałoby ujawnienie frazy początkowej konkretnej stronie trzeciej, platformie analitycznej Mixpanel.

„Pozwala to każdemu, kto ma dostęp do dziennika dostępu do Mixpanel lub właścicielowi konta Mixpanel (np. Near devs), mieć dostęp do każdego, kto kliknął link w e-mailu odzyskiwania”, napisał na Twitterze Hacxyk. „Prawdopodobny scenariusz byłby taki, że konto właściciela Mixpanel zostało naruszone”.

Near powiedział, że rozwiązał problem w dniu zgłoszenia, usunął ujawnione informacje i zidentyfikował, kto mógł mieć do niego dostęp. Hacxyk otrzymał również nagrodę za błąd za odkrycie naruszenia. Jednak incydent związany z bezpieczeństwem najwyraźniej nie został ujawniony opinii publicznej, dopóki Hacxyk nie zrobił tego w środę za pośrednictwem Twittera.

Hacxyk podzielił się naruszeniem Near ze względu na jego techniczne podobieństwo do tego tygodnia Hack portfela Solany, W przypadku Solana, mobilny portfel o nazwie Slope miał lukę, która umożliwiała potencjalnym atakującym dostęp do kluczy prywatnych użytkowników.

Ostatecznie kryptowaluta i tokeny o wartości prawie 6 milionów dolarów zostały usunięte z ponad 10,500 XNUMX unikalnych portfeli Solana, według zaktualizowanych danych z eksploratora blockchain Solscan.

Near informuje, że jego problem został rozwiązany przed uszkodzeniem portfeli użytkowników. „Do tej pory nie znaleźliśmy żadnych oznak kompromisu związanych z przypadkowym zebraniem tych danych, ani nie mamy powodu, by sądzić, że te dane przetrwają gdziekolwiek” – czytamy w poście Near.

Mimo to firma Near zaleca wszystkim użytkownikom, którzy wcześniej włączyli opcję odzyskiwania poczty e-mail lub SMS-em, obrócenie kluczy dołączonych do ich portfela, a także wyłączenie opcji odzyskiwania. Firma Near nie pozwala już nowo utworzonym portfelom korzystać z opcji odzyskiwania poczty e-mail lub SMS-a.

Tymczasem Hacxyk zaleca że każdy, kto wcześniej wybrał opcję odzyskiwania poczty e-mail, przeniesie swoje zasoby do nowego portfela, na wszelki wypadek.

Token NEAR wzrósł o prawie 15% w ciągu ostatnich 24 godzin przy obecnej cenie 5.13 USD za token, według CoinGecko. Szerszy rynek kryptograficzny wzrósł w tym okresie tylko o około 2%.