NEAR Protocol, en Layer 1 blockchain, meddelte brugere, at SMS- og e-mail-data, der blev brugt som gendannelsesmuligheder i dets kerne-pungudbud, blev lækket til en tredjepart i juni. I en ny rapport, sagde NEAR, at problemet var løst, før der skete nogen skade.
NEAR Protocols tegnebogstilbud på wallet.near.org giver brugerne mulighed for at tilføje gendannelsesmuligheder, herunder e-mail-data eller telefonnumre, til deres crypto wallet-konti. En fejl i systemet afslørede ved et uheld følsomme detaljer for en tredjepart.
NEAR sagde, at det var i stand til hurtigt at løse situationen ved at slette adgangen til dataene fra tredjeparten eller dens egne medarbejdere, hvilket forhindrede bruddet i at være en trussel mod pengesikkerheden eller brugernes privatliv.
"Tegningsteamet afhjælpede øjeblikkeligt situationen, skrubbede alle følsomme data og identificerede enhver person, der kunne have haft mulighed for at få adgang til disse data," sagde teamet.
Fejlen blev rapporteret den 6. juni af et web3-sikkerhedsrevisionsfirma ved navn Hacxyk, som fik udbetalt en dusør på $50,000. Alligevel NÆR Protokol teamet havde ikke delt oplysningerne indtil nu.
Hacxyk fortalte The Block, at tredjeparten var Mixpanel, en analysetjeneste, som NEAR brugte. Hacxyk sammenlignede hændelsen med den igangværende Slope tegnebog problem, hvor tegnebogens detaljer ved et uheld blev overført til en centraliseret server. Den tilføjede, at i NEARs tilfælde, private nøgler kan også være blevet kompromitteret.
"Vi mener, at naturen er meget lig det nylige Slope wallet hack på Solana. Kort sagt blev frøsætningerne ubevidst lækket til tredjeparts Mixpanel, en analysetjeneste, da brugerne valgte e-mail/SMS som gendannelsesmetoden til gendannelse af frøsætninger. Det betyder, at brugernes frøsætninger gemmes på Mixpanels server,” sagde Hacxyk.
Som en sikkerhedsforanstaltning sagde NEAR-protokollen, at den ikke længere tillader brugere at oprette konti ved hjælp af e-mail eller SMS til kontogendannelse. Det rådede også brugere, der tidligere havde brugt e-mail- eller SMS-gendannelsesmuligheder med deres NEAR-pung, om at "rotere deres nøgler" eller tilføje en hardwarepung, såsom Ledger.
Per Hacxyk er tegnebogskontomodellen for NEAR-tegnebøger en smule anderledes end Ethereum. En kryptokonto kan have flere nøglesæt med forskellige tilladelser. Ved at rotere private nøgler beder NEAR brugerne om at tilbagekalde de potentielt lækkede nøglesæt og tilføje nye til at erstatte dem.
En NEAR Protocol-medstifter reagerede ikke umiddelbart på The Blocks anmodning om kommentar.
© 2022 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Kilde: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss