NEAR Protocol показал, что данные SMS и электронной почты, используемые в качестве вариантов восстановления кошелька, были переданы третьей стороне в июне. NEAR заявила, что утечка данных не представляет угрозы для безопасности средств или конфиденциальности пользователей.
Блокчейн первого уровня NEAR Protocol (NEAR) уведомил пользователей о том, что данные SMS и электронной почты, используемые в качестве вариантов восстановления в его основном кошельке, были переданы третьей стороне в июне. В новом сообщении в блоге NEAR говорится, что проблема была решена до того, как был нанесен какой-либо вред.
Кошелек NEAR Protocol на сайте wallet.near.org позволяет пользователям добавлять параметры восстановления, включая данные электронной почты или номера телефонов, в учетные записи криптокошельков. Из-за ошибки в системе конфиденциальные данные были случайно раскрыты третьей стороне.
NEAR заявила, что смогла быстро решить ситуацию, запретив доступ к данным третьих лиц или своих сотрудников, предотвратив угрозу безопасности средств или конфиденциальности пользователей.
«Команда кошелька немедленно исправила ситуацию, очистила все конфиденциальные данные и выявила всех сотрудников, которые могли иметь доступ к этим данным», — говорится в сообщении NEAR.
Команда этичных хакеров под названием Hacxyk сообщила об ошибке 6 июня. За отчет об уязвимости им было выплачено вознаграждение. Тем не менее, команда NEAR Protocol до сих пор не делилась информацией.
Hacxyk заявила, что третьей стороной была аналитическая служба Mixpanel, и сравнила инцидент с продолжающейся проблемой кошелька Slope Wallet, — пользовательские сид-фразы, которые применяются для восстановления доступа к кошельку, передавались приложением на централизованный сервер. Hacxyk добавил, что закрытые ключи также могли быть скомпрометированы.
«Мы считаем, что природа проблемы очень похожа на недавний взлом кошелька Slope на Solana. Короче говоря, сид-фразы по незнанию просочились в стороннюю аналитическую службу Mixpanel, когда пользователи выбрали E-mail/SMS в качестве метода восстановления сид-фраз. Это означает, что исходные фразы пользователей хранятся на сервере Mixpanel», — сказал Hacxyk.
В качестве меры безопасности протокол NEAR заявил, что больше не позволяет пользователям создавать учетные записи, используя электронную почту или SMS для восстановления учетной записи. Он также рекомендовал пользователям, которые ранее использовали параметры восстановления по электронной почте или SMS со своим кошельком NEAR, «поменять свои ключи» или добавить в качестве фактора аутентификации аппаратный кошелек, такой как Ledger.
Согласно Hacxyk, модель учетной записи для кошельков NEAR немного отличается от Ethereum. Крипто-аккаунт может иметь несколько наборов ключей с разными разрешениями. NEAR предлагает пользователям сменить приватные ключи, отозвав наборы ключей, которые могли быть скомпрометированы, и добавив вместо них новые.
Источник: Источник
