NEAR 協議是第 1 層區塊鏈,它通知用戶,在其核心錢包產品中用作恢復選項的 SMS 和電子郵件數據已於 XNUMX 月洩露給第三方。 在一份新報告中, NEAR 表示在造成任何傷害之前問題已經解決。
NEAR Protocol 在 wallet.near.org 上的錢包產品允許用戶將包括電子郵件數據或電話號碼在內的恢復選項添加到他們的加密錢包帳戶中。 系統中的錯誤意外將敏感細節暴露給第三方。
NEAR 表示,它能夠通過刪除第三方或其自己員工對數據的訪問權限來快速解決這種情況,防止違規行為對用戶的資金安全或隱私構成威脅。
“錢包團隊立即糾正了這種情況,清理了所有敏感數據,並確定了任何可能有能力訪問這些數據的人員,”該團隊表示。
該漏洞於 6 月 3 日由名為 Hacxyk 的 web50,000 安全審計公司報告,該公司獲得了 XNUMX 美元的獎金。 儘管如此, NEAR協議 團隊直到現在才分享信息。
Hacxyk 告訴 The Block,第三方是 NEAR 使用的分析服務 Mixpanel。 Haxyk 將這一事件與正在進行的 斜坡錢包 錢包詳細信息意外傳輸到中央服務器的問題。 它補充說,在 NEAR 的案例中, 私鑰也可能已被洩露。
“我們認為其性質與最近對 Solana 的 Slope 錢包黑客攻擊非常相似。 簡而言之,當用戶選擇電子郵件/短信作為種子短語恢復方法時,種子短語在不知不覺中洩露給了第三方分析服務 Mixpanel。 這意味著用戶的助記詞被存儲到 Mixpanel 的服務器中,”Hacxyk 說。
作為一項安全措施,NEAR 協議表示,它不再允許用戶使用電子郵件或 SMS 創建帳戶以進行帳戶恢復。 它還建議以前在 NEAR 錢包中使用過電子郵件或短信恢復選項的用戶“輪換密鑰”或添加硬件錢包,例如 Ledger。
根據 Hacxyk,NEAR 錢包的錢包賬戶模型與以太坊略有不同。 一個加密帳戶可以有多個具有不同權限的密鑰集。 通過輪換私鑰,NEAR 告訴用戶撤銷可能洩露的密鑰集,並添加新的密鑰集來替換它們。
NEAR Protocol 的聯合創始人沒有立即回應 The Block 的置評請求。
©2022 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss