Ang NEAR Protocol, isang Layer 1 blockchain, ay nag-abiso sa mga user na ang data ng SMS at email na ginamit bilang mga opsyon sa pagbawi sa core wallet na handog nito ay na-leak sa isang third party noong Hunyo. Sa isang bagong ulat, sinabi ng NEAR na nalutas ang isyu bago gumawa ng anumang pinsala.
Ang pag-aalok ng wallet ng NEAR Protocol sa wallet.near.org ay nagbibigay-daan sa mga user na magdagdag ng mga opsyon sa pagbawi kabilang ang data ng email o mga numero ng telepono sa kanilang mga crypto wallet account. Ang isang bug sa system ay hindi sinasadyang naglantad ng mga sensitibong detalye sa isang third party.
Sinabi ng NEAR na nagawa nitong mabilis na matugunan ang sitwasyon sa pamamagitan ng pagtanggal ng access sa data mula sa third party o sa sarili nitong mga empleyado, na pumipigil sa paglabag na maging banta sa pagpopondo ng seguridad o privacy ng mga user.
"Agad na inayos ng pangkat ng wallet ang sitwasyon, na-scrub ang lahat ng sensitibong data, at tinukoy ang sinumang tauhan na maaaring magkaroon ng kakayahang i-access ang data na ito," sabi ng koponan.
Ang bug ay iniulat noong Hunyo 6 ng isang web3 security auditing firm na tinatawag na Hacxyk, na binayaran ng $50,000 na bounty. Gayunpaman, ang MALAPIT na Protocol hindi pa ibinahagi ng team ang impormasyon hanggang ngayon.
Sinabi ni Hacxyk sa The Block na ang ikatlong partido ay Mixpanel, isang serbisyo ng analytics, na ginamit ng NEAR. Ikinumpara ni Hacxyk ang insidente sa nagpapatuloy Slope Wallet isyu kung saan ang mga detalye ng wallet ay aksidenteng naipadala sa isang sentralisadong server. Idinagdag nito na sa kaso ni NEAR, maaaring nakompromiso rin ang mga pribadong key.
"Naniniwala kami na ang kalikasan ay halos kapareho sa kamakailang Slope wallet hack sa Solana. Sa madaling salita, hindi sinasadyang na-leak ang mga seed na parirala sa third party na Mixpanel, isang serbisyo ng analytics, noong pinili ng mga user ang email/SMS bilang paraan ng pagbawi ng seed phrase. Nangangahulugan ito na ang mga seed phrase ng mga user ay nakaimbak sa server ng Mixpanel,” sabi ni Hacxyk.
Bilang hakbang sa seguridad, sinabi ng NEAR Protocol na hindi na nito pinapayagan ang mga user na lumikha ng mga account gamit ang email o SMS para sa pagbawi ng account. Pinayuhan din nito ang mga user na dati nang gumamit ng mga opsyon sa pagbawi ng email o SMS sa kanilang NEAR wallet na "i-rotate ang kanilang mga susi" o magdagdag ng hardware wallet, gaya ng Ledger.
Ayon sa Hacxyk, ang modelo ng wallet account para sa NEAR wallet ay bahagyang naiiba sa Ethereum. Ang isang crypto account ay maaaring magkaroon ng maraming keyset na may iba't ibang mga pahintulot. Sa pamamagitan ng pag-rotate ng mga pribadong key, sinasabi ng NEAR sa mga user na bawiin ang mga potensyal na na-leak na keyset, at magdagdag ng mga bago upang palitan ang mga ito.
Isang NEAR Protocol co-founder ay hindi agad tumugon sa kahilingan ng The Block para sa komento.
© 2022 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Pinagmulan: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss