NEAR Protocol, en Layer 1-blokkjede, varslet brukere om at SMS- og e-postdata brukt som gjenopprettingsalternativer i kjernen i lommeboktilbudet ble lekket til en tredjepart i juni. I en ny rapport, sa NEAR at problemet ble løst før noen skade ble gjort.
NEAR Protocols lommeboktilbud på wallet.near.org lar brukere legge til gjenopprettingsalternativer inkludert e-postdata eller telefonnumre til kryptolommebokkontoene sine. En feil i systemet avslørte ved et uhell sensitive detaljer for en tredjepart.
NEAR sa at det raskt var i stand til å løse situasjonen ved å slette tilgangen til dataene fra tredjeparten eller sine egne ansatte, og forhindret at bruddet var en trussel mot sikkerheten eller personvernet til brukere.
"Lommebokteamet utbedret situasjonen umiddelbart, skrubbet alle sensitive data og identifiserte alle personer som kunne ha hatt tilgang til disse dataene," sa teamet.
Feilen ble rapportert 6. juni av et web3 sikkerhetsrevisjonsfirma kalt Hacxyk, som fikk utbetalt en dusør på $50,000 XNUMX. Likevel, den NÆR protokoll teamet hadde ikke delt informasjonen før nå.
Hacxyk fortalte The Block at tredjeparten var Mixpanel, en analysetjeneste som NEAR brukte. Hacxyk sammenlignet hendelsen med den pågående Slope lommebok problem der lommebokdetaljer ved et uhell ble overført til en sentralisert server. Den la til at i NEARs tilfelle, private nøkler kan også ha blitt kompromittert.
"Vi tror naturen er veldig lik det nylige Slope-lommebokhacket på Solana. Kort sagt, frøsetningene ble ubevisst lekket til tredjeparts Mixpanel, en analysetjeneste, da brukere valgte e-post/SMS som seed-frase-gjenopprettingsmetode. Dette betyr at brukernes frøsetninger er lagret på Mixpanels server,” sa Hacxyk.
Som et sikkerhetstiltak sa NEAR-protokollen at den ikke lenger tillater brukere å opprette kontoer ved å bruke e-post eller SMS for kontogjenoppretting. Den rådet også brukere som tidligere hadde brukt e-post- eller SMS-gjenopprettingsalternativer med NEAR-lommeboken om å "rotere nøklene" eller legge til en maskinvarelommebok, for eksempel Ledger.
Per Hacxyk er lommebokkontomodellen for NEAR-lommebøker litt forskjellig fra Ethereum. En kryptokonto kan ha flere nøkkelsett med forskjellige tillatelser. Ved å rotere private nøkler ber NEAR brukere om å tilbakekalle de potensielt lekkede nøkkelsettene, og legge til nye for å erstatte dem.
En NEAR Protocol-grunnlegger svarte ikke umiddelbart på The Blocks forespørsel om kommentar.
© 2022 The Block Crypto, Inc. Alle rettigheter reservert. Denne artikkelen er kun ment for informasjonsformål. Det blir ikke tilbudt eller ment å brukes som juridiske, skatte-, investerings-, økonomiske eller andre råd.
Kilde: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss