NEAR Protocol, блокчейн от слой 1, уведоми потребителите, че SMS и имейл данни, използвани като опции за възстановяване в основното му предложение за портфейл, са изтекли към трета страна през юни. В нов доклад, NEAR каза, че проблемът е разрешен, преди да бъде нанесена каквато и да е вреда.
Предложението за портфейл на NEAR Protocol на wallet.near.org позволява на потребителите да добавят опции за възстановяване, включително имейл данни или телефонни номера към своите акаунти в крипто портфейла. Грешка в системата случайно изложи чувствителни подробности на трета страна.
NEAR заяви, че е успял бързо да се справи със ситуацията, като изтрие достъпа до данните от трета страна или собствените си служители, предотвратявайки пробива да бъде заплаха за сигурността на средствата или поверителността на потребителите.
„Екипът на портфейла незабавно коригира ситуацията, изчисти всички чувствителни данни и идентифицира всеки персонал, който би могъл да има достъп до тези данни“, каза екипът.
Грешката беше докладвана на 6 юни от фирма за одит на сигурността на web3, наречена Hacxyk, на която беше платена награда от $50,000 XNUMX. Все пак, Протокол NEAR екипът не е споделял информацията до момента.
Hacxyk каза пред The Block, че третата страна е Mixpanel, услуга за анализ, която използва NEAR. Hacxyk сравни инцидента с продължаващия Slope Wallet проблем, при който данните за портфейла са случайно предадени на централизиран сървър. Той добави, че в случая на NEAR, частните ключове също може да са били компрометирани.
„Вярваме, че природата е много подобна на неотдавнашното хакване на портфейла на Slope на Solana. Накратко, началните фрази са изтекли несъзнателно към третата страна Mixpanel, услуга за анализ, когато потребителите са избрали имейл/SMS като метод за възстановяване на началната фраза. Това означава, че началните фрази на потребителите се съхраняват в сървъра на Mixpanel,” каза Hacxyk.
Като мярка за сигурност протоколът NEAR каза, че вече не позволява на потребителите да създават акаунти, използвайки имейл или SMS за възстановяване на акаунт. Той също така посъветва потребителите, които преди това са използвали имейл или SMS опции за възстановяване с портфейла си NEAR, да „завъртят ключовете си“ или да добавят хардуерен портфейл, като Ledger.
Според Hacxyk моделът на акаунта на портфейла за портфейлите NEAR е малко по-различен от Ethereum. Един крипто акаунт може да има множество набори ключове с различни разрешения. Чрез завъртане на частни ключове NEAR казва на потребителите да отменят потенциално изтеклите набори ключове и да добавят нови, за да ги заменят.
Съосновател на NEAR Protocol не отговори веднага на искането на The Block за коментар.
© 2022 The Block Crypto, Inc. Всички права запазени. Тази статия е предоставена само за информационни цели. Не се предлага или не се използва като правен, данъчен, инвестиционен, финансов или друг съвет.
Източник: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss