Esimese kihi plokiahel NEAR Protocol teavitas kasutajaid, et selle rahakoti põhipakkumises taastamisvõimalustena kasutatud SMS-i ja e-posti andmed lekitati juunis kolmandale osapoolele. Uues aruandesNEAR ütles, et probleem lahendati enne, kui kahju tekitati.
NEAR Protocoli rahakoti pakkumine saidil wallet.near.org võimaldab kasutajatel lisada oma krüptorahakoti kontodele taastevalikuid, sealhulgas e-posti andmeid või telefoninumbreid. Süsteemi viga paljastas kogemata tundlikud üksikasjad kolmandale osapoolele.
NEAR teatas, et suutis olukorra kiiresti lahendada, kustutades juurdepääsu andmetele kolmandalt osapoolelt või oma töötajatelt, vältides seda, et rikkumine ohustab rahaliste vahendite turvalisust või kasutajate privaatsust.
"Rahakotimeeskond parandas olukorra kohe, puhastas kõik tundlikud andmed ja tuvastas kõik töötajad, kellel oleks võinud neile andmetele juurde pääseda," ütles meeskond.
Veast teatas 6. juunil web3 turvaaudiitorfirma Hacxyk, kellele maksti 50,000 XNUMX dollari suurune preemia. Siiski, NEAR-protokoll meeskond polnud seni teavet jaganud.
Hacxyk ütles The Blockile, et kolmas osapool oli Mixpanel, analüüsiteenus, mida NEAR kasutas. Hacxyk võrdles juhtunut käimasolevaga Slope rahakott probleem, mille puhul rahakoti andmed edastati kogemata tsentraliseeritud serverisse. Ta lisas, et NEARi puhul ka privaatvõtmed võivad olla ohus.
"Usume, et loodus on väga sarnane hiljutisele Solana rahakoti häkkimisele Slope'iga. Lühidalt öeldes lekitati algfraasid teadmatult kolmanda osapoole analüüsiteenusele Mixpanel, kui kasutajad valisid lähtefraasi taastamise meetodiks meili/SMS-i. See tähendab, et kasutajate seemnefraasid salvestatakse Mixpaneli serverisse, ”ütles Hacxyk.
Turvameetmena ütles NEAR-protokoll, et see ei võimalda enam kasutajatel konto taastamiseks e-posti või SMS-i abil kontosid luua. Samuti soovitas see kasutajatel, kes olid varem oma NEAR-i rahakotiga kasutanud e-posti või SMS-ide taastamise võimalusi, "võtmeid pöörata" või lisada riistvarakott, näiteks Ledger.
Hacxyki sõnul erineb NEAR-i rahakottide rahakotikonto mudel Ethereumist veidi. Krüptokontol võib olla mitu erinevate lubadega võtmekomplekti. Privaatvõtmeid pöörates käsib NEAR kasutajatel potentsiaalselt lekkinud võtmekomplektid tühistada ja lisada nende asemele uued.
NEAR Protocoli kaasasutaja ei vastanud kohe The Blocki kommentaaritaotlusele.
© 2022 The Block Crypto, Inc. Kõik õigused kaitstud. See artikkel on esitatud ainult informatiivsel eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- ega muu nõuandena.
Allikas: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss