Il protocollo NEAR, una blockchain di livello 1, ha notificato agli utenti che i dati di SMS ed e-mail utilizzati come opzioni di ripristino nella sua offerta di portafoglio principale erano trapelati a terzi a giugno. In un nuovo rapporto, NEAR ha affermato che il problema è stato risolto prima che venissero arrecati danni.
L'offerta di portafoglio di NEAR Protocol su wallet.near.org consente agli utenti di aggiungere opzioni di recupero inclusi dati e-mail o numeri di telefono ai propri account di portafoglio crittografico. Un bug nel sistema ha esposto accidentalmente dettagli sensibili a terzi.
NEAR ha affermato di essere stata in grado di affrontare rapidamente la situazione eliminando l'accesso ai dati da parte di terzi o dei propri dipendenti, impedendo che la violazione costituisca una minaccia per la sicurezza dei fondi o la privacy degli utenti.
"Il team del portafoglio ha immediatamente risolto la situazione, cancellato tutti i dati sensibili e identificato il personale che avrebbe potuto avere la possibilità di accedere a questi dati", ha affermato il team.
Il bug è stato segnalato il 6 giugno da una società di audit di sicurezza web3 chiamata Hacxyk, a cui è stata pagata una taglia di $ 50,000. Tuttavia, il Protocollo NEAR il team non aveva condiviso le informazioni fino ad ora.
Hacxyk ha detto a The Block che la terza parte era Mixpanel, un servizio di analisi, utilizzato da NEAR. Hacxyk ha paragonato l'incidente a quello in corso Portafoglio inclinato problema in cui i dettagli del portafoglio sono stati trasmessi accidentalmente a un server centralizzato. Ha aggiunto che nel caso di NEAR, anche le chiavi private potrebbero essere state compromesse.
“Riteniamo che la natura sia molto simile al recente hack del portafoglio Slope su Solana. In breve, le frasi seme sono trapelate inconsapevolmente al Mixpanel di terze parti, un servizio di analisi, quando gli utenti hanno scelto e-mail/SMS come metodo di recupero della frase seme. Ciò significa che le frasi iniziali degli utenti vengono archiviate nel server di Mixpanel", ha affermato Hacxyk.
Come misura di sicurezza, il protocollo NEAR ha affermato che non consente più agli utenti di creare account utilizzando e-mail o SMS per il recupero dell'account. Ha inoltre consigliato agli utenti che in precedenza avevano utilizzato le opzioni di ripristino di e-mail o SMS con il proprio portafoglio NEAR di "ruotare le chiavi" o aggiungere un portafoglio hardware, come Ledger.
Per Hacxyk, il modello di conto portafoglio per i portafogli NEAR è leggermente diverso da Ethereum. Un account crittografico può avere più keyset con autorizzazioni diverse. Ruotando le chiavi private, NEAR sta dicendo agli utenti di revocare i keyset potenzialmente trapelati e di aggiungerne di nuovi per sostituirli.
Un co-fondatore di NEAR Protocol non ha risposto immediatamente alla richiesta di commento di The Block.
© 2022 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss