NEAR 协议是第 1 层区块链,它通知用户,在其核心钱包产品中用作恢复选项的 SMS 和电子邮件数据已于 XNUMX 月泄露给第三方。 在一份新报告中, NEAR 表示在造成任何伤害之前问题已经解决。
NEAR Protocol 在 wallet.near.org 上的钱包产品允许用户将包括电子邮件数据或电话号码在内的恢复选项添加到他们的加密钱包帐户中。 系统中的错误意外将敏感细节暴露给第三方。
NEAR 表示,它能够通过删除第三方或其自己员工对数据的访问权限来快速解决这种情况,防止违规行为对用户的资金安全或隐私构成威胁。
“钱包团队立即纠正了这种情况,清理了所有敏感数据,并确定了任何可能有能力访问这些数据的人员,”该团队表示。
该漏洞于 6 月 3 日由名为 Hacxyk 的 web50,000 安全审计公司报告,该公司获得了 XNUMX 美元的奖金。 尽管如此, NEAR协议 团队直到现在才分享信息。
Hacxyk 告诉 The Block,第三方是 NEAR 使用的分析服务 Mixpanel。 Haxyk 将这一事件与正在进行的 斜坡钱包 钱包详细信息意外传输到中央服务器的问题。 它补充说,在 NEAR 的案例中, 私钥也可能已被泄露。
“我们认为其性质与最近对 Solana 的 Slope 钱包黑客攻击非常相似。 简而言之,当用户选择电子邮件/短信作为种子短语恢复方法时,种子短语在不知不觉中泄露给了第三方分析服务 Mixpanel。 这意味着用户的助记词被存储到 Mixpanel 的服务器中,”Hacxyk 说。
作为一项安全措施,NEAR 协议表示,它不再允许用户使用电子邮件或 SMS 创建帐户以进行帐户恢复。 它还建议以前在 NEAR 钱包中使用过电子邮件或短信恢复选项的用户“轮换密钥”或添加硬件钱包,例如 Ledger。
根据 Hacxyk,NEAR 钱包的钱包账户模型与以太坊略有不同。 一个加密帐户可以有多个具有不同权限的密钥集。 通过轮换私钥,NEAR 告诉用户撤销可能泄露的密钥集,并添加新的密钥集来替换它们。
NEAR Protocol 的联合创始人没有立即回应 The Block 的置评请求。
©2022 The Block Crypto,Inc.保留所有权利。 本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
资料来源:https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss