NEAR Protocol, een Layer 1-blockchain, informeerde gebruikers dat sms- en e-mailgegevens die werden gebruikt als herstelopties in het core-portemonneeaanbod in juni naar een derde partij waren gelekt. In een nieuw rapport, zei NEAR dat het probleem was opgelost voordat er schade werd aangericht.
Met het portemonnee-aanbod van NEAR Protocol op wallet.near.org kunnen gebruikers herstelopties, waaronder e-mailgegevens of telefoonnummers, toevoegen aan hun crypto-portemonnee-accounts. Een bug in het systeem heeft per ongeluk gevoelige details aan een derde partij blootgesteld.
NEAR zei dat het in staat was om de situatie snel aan te pakken door de toegang tot de gegevens van de derde partij of zijn eigen werknemers te verwijderen, waardoor wordt voorkomen dat de inbreuk een bedreiging vormt voor de veiligheid van het geld of de privacy van gebruikers.
"Het wallet-team heeft de situatie onmiddellijk verholpen, alle gevoelige gegevens verwijderd en personeel geïdentificeerd dat toegang tot deze gegevens had kunnen krijgen", aldus het team.
De bug werd op 6 juni gemeld door een web3-beveiligingsauditbedrijf genaamd Hacxyk, dat een premie van $ 50,000 ontving. Toch is de DICHTBIJ Protocol team had de informatie tot nu toe niet gedeeld.
Hacxyk vertelde The Block dat de derde partij Mixpanel was, een analysedienst die NEAR gebruikte. Hacxyk vergeleek het incident met de aan de gang zijnde Helling portemonnee probleem waarbij portefeuillegegevens per ongeluk naar een gecentraliseerde server werden verzonden. Het voegde eraan toe dat in het geval van NEAR, privésleutels zijn mogelijk ook gecompromitteerd.
"We geloven dat de aard erg lijkt op de recente Slope-portemonnee-hack op Solana. Kortom, de seed-frases werden onbewust gelekt naar de externe partij Mixpanel, een analyseservice, toen gebruikers e-mail/sms kozen als de methode voor het herstellen van de seed-frase. Dit betekent dat de seed-frases van gebruikers worden opgeslagen op de Mixpanel-server, "zei Hacxyk.
Als veiligheidsmaatregel zei het NEAR-protocol dat het gebruikers niet langer toestaat om accounts aan te maken met e-mail of sms voor accountherstel. Het adviseerde ook gebruikers die eerder e-mail- of sms-herstelopties hadden gebruikt met hun NEAR-portemonnee om "hun sleutels te draaien" of een hardwareportemonnee toe te voegen, zoals Ledger.
Volgens Hacxyk verschilt het wallet-accountmodel voor NEAR-wallets enigszins van Ethereum. Een crypto-account kan meerdere sleutelsets hebben met verschillende machtigingen. Door privésleutels te roteren, vertelt NEAR gebruikers om de mogelijk gelekte sleutelsets in te trekken en nieuwe toe te voegen om ze te vervangen.
Een mede-oprichter van NEAR Protocol reageerde niet onmiddellijk op het verzoek van The Block om commentaar.
© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss