Near Protocol avalikustab rahakoti rikkumise, mis võis paljastada privaatvõtmed

Blockchain võrk Protokolli lähedal avalikustas juunis avastatud turvarikkumise, mille tulemusena võis kolmanda osapoole teenus pääseda kasutaja algfraasidele juurde rahakotid.

Lähedal jagas blogipostitust neljapäeval rikkumisest, millest turvafirma Hacxyk teatas meeskonnale 6. juunil. Sel ajal võimaldas platvorm kasutajatel määrata e-posti aadressi või telefoninumbri lähedal asuva rahakoti taastamise võimalusena, võimaldades neil taastada juurdepääs rahakotile e-posti või SMS-i teel.

Taastesüsteem võib aga selle käigus paljastada kasutajate algfraasid – krüptorahakotile juurdepääsu taastamiseks kasutatud privaatvõtmed. Vastavalt säutsu niit Hacxykilt lekitaks meili taastamise valiku kasutamine algfraasi konkreetsele kolmandale osapoolele, analüüsiplatvormile Mixpanel.

"See võimaldab kõigil, kellel on juurdepääs [Mixpaneli] juurdepääsulogile või Mixpaneli konto omanikul (nt Near devs), pääseda juurde kõigile, kes on klõpsanud e-posti taastamise lingil," säutsus Hacxyk. "Tõenäoline stsenaarium on see, et Mixpaneli omaniku konto sattus ohtu."

Near ütles, et lahendas probleemi juba teatamise päeval, kustutas lekkinud teabe ja tuvastas, kellel võis sellele juurdepääs olla. Hacxykile maksti rikkumise avastamise eest ka vearaha. Kuid ilmselt ei olnud turvaintsident avalikkusele avaldatud enne, kui Hacxyk seda kolmapäeval Twitteri kaudu tegi.

Hacxyk jagas lähedalasuvat rikkumist selle tehnilise sarnasuse tõttu selle nädalaga Solana rahakoti häkkimine. Juhul kui Solana, mobiilne rahakott nimega Slope oli haavatavus, mis võimaldas potentsiaalsetel ründajatel juurdepääsu kasutajate privaatvõtmetele.

Lõppkokkuvõttes tõmmati plokiahela uurija värskendatud andmete kohaselt enam kui 6 10,500 ainulaadsest Solana rahakotist ligi XNUMX miljoni dollari väärtuses krüptovaluutat ja žetoone. Solscan.

Near teatab, et selle probleemiga tegeleti enne, kui kasutajate rahakotile kahju tekitati. "Praeguseks ei ole me leidnud mingeid märke nende andmete juhusliku kogumisega seotud kompromissidest ega ole põhjust arvata, et need andmed kusagil säilivad," seisab Neari postituses.

Siiski soovitab Near kõigil kasutajatel, kes on varem e-posti või SMS-i taastamise võimaluse lubanud, oma rahakoti külge kinnitatud võtmeid pöörata ja taastevaliku keelata. Near ei luba enam vastloodud rahakottidel kasutada e-posti või SMS-ide taastamise valikut.

Hacxyk samal ajal soovitab et kõik, kes varem valisid e-posti taastamise valiku, kannavad oma varad uude rahakotti, et olla ohutu.

Vastavalt andmetele on NEAR-märk kallinenud peaaegu 15% viimase 24 tunni jooksul praeguse hinnaga 5.13 dollarit märgi kohta. MüntGecko. Laiem krüptoturg on selle ajavahemiku jooksul tõusnud vaid umbes 2%.