NEAR Protocol, блокчейн рівня 1, сповістив користувачів про те, що дані SMS і електронної пошти, які використовуються як варіанти відновлення в його основній пропозиції гаманця, були виточені третій стороні в червні. У новому звіті, NEAR сказав, що проблему було вирішено до того, як було завдано будь-якої шкоди.
Пропозиція гаманця NEAR Protocol на wallet.near.org дозволяє користувачам додавати варіанти відновлення, включаючи дані електронної пошти або номери телефонів, до своїх облікових записів криптогаманців. Помилка в системі випадково розкрила конфіденційні дані третій стороні.
NEAR заявив, що зміг швидко вирішити ситуацію, видаливши доступ до даних третьої сторони або власних співробітників, запобігаючи тому, щоб злам став загрозою безпеці коштів або конфіденційності користувачів.
«Команда гаманця негайно виправила ситуацію, очистила всі конфіденційні дані та ідентифікувала будь-якого персоналу, який міг мати доступ до цих даних», — повідомила команда.
Про помилку повідомила 6 червня аудиторська фірма безпеки web3 під назвою Hacxyk, якій було виплачено винагороду в розмірі 50,000 XNUMX доларів. Тим не менш, Протокол NEAR Команда не надсилала інформацію досі.
Hacxyk розповів The Block, що третьою стороною був Mixpanel, аналітичний сервіс, який використовував NEAR. Хаксик порівняв інцидент із тим, що триває Гаманець Slope проблема, в якій дані гаманця були випадково передані на централізований сервер. Він додав, що у випадку NEAR, приватні ключі також могли бути зламані.
«Ми вважаємо, що природа дуже схожа на недавній злом гаманця Slope на Solana. Коротше кажучи, вихідні фрази несвідомо просочилися до третьої сторони Mixpanel, аналітичної служби, коли користувачі вибрали електронну пошту/SMS як метод відновлення початкової фрази. Це означає, що вихідні фрази користувачів зберігаються на сервері Mixpanel», — сказав Хаксик.
В якості заходу безпеки протокол NEAR заявив, що більше не дозволяє користувачам створювати облікові записи за допомогою електронної пошти або SMS для відновлення облікового запису. Він також порадив користувачам, які раніше використовували варіанти відновлення електронною поштою або SMS за допомогою свого гаманця NEAR, «повернути свої ключі» або додати апаратний гаманець, наприклад Ledger.
За Hacxyk, модель облікового запису гаманця для гаманців NEAR дещо відрізняється від Ethereum. Криптографічний обліковий запис може мати кілька наборів ключів з різними дозволами. Змінюючи приватні ключі, NEAR повідомляє користувачам відкликати набори ключів, які потенційно витікають, і додавати нові замість них.
Співзасновник NEAR Protocol не відразу відповів на запит The Block про коментар.
© 2022 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss