O NEAR Protocol, uma blockchain de camada 1, notificou os usuários de que dados de SMS e e-mail usados como opções de recuperação em sua oferta principal de carteira vazaram para terceiros em junho. Em um novo relatório, NEAR disse que o problema foi resolvido antes que qualquer dano fosse feito.
A oferta de carteira do NEAR Protocol em wallet.near.org permite que os usuários adicionem opções de recuperação, incluindo dados de e-mail ou números de telefone às suas contas de carteira criptográfica. Um bug no sistema expôs acidentalmente detalhes confidenciais a terceiros.
A NEAR disse que conseguiu resolver rapidamente a situação excluindo o acesso aos dados de terceiros ou de seus próprios funcionários, evitando que a violação seja uma ameaça à segurança dos fundos ou à privacidade dos usuários.
“A equipe da carteira corrigiu imediatamente a situação, limpou todos os dados confidenciais e identificou qualquer pessoa que pudesse ter a capacidade de acessar esses dados”, disse a equipe.
O bug foi relatado em 6 de junho por uma empresa de auditoria de segurança da web3 chamada Hacxyk, que recebeu uma recompensa de US$ 50,000. Ainda assim, o Protocolo NEAR equipe não havia compartilhado a informação até agora.
Hacxyk disse ao The Block que o terceiro era o Mixpanel, um serviço de análise, que a NEAR usava. Hacxyk comparou o incidente com o atual Carteira Slope problema em que os detalhes da carteira foram acidentalmente transmitidos para um servidor centralizado. Acrescentou que, no caso da NEAR, chaves privadas também podem ter sido comprometidas.
“Acreditamos que a natureza é muito semelhante ao recente hack da carteira Slope em Solana. Em suma, as frases iniciais foram vazadas sem saber para o Mixpanel de terceiros, um serviço de análise, quando os usuários escolheram e-mail/SMS como o método de recuperação da frase inicial. Isso significa que as frases iniciais dos usuários são armazenadas no servidor do Mixpanel”, disse Hacxyk.
Como medida de segurança, o protocolo NEAR disse que não permite mais que os usuários criem contas usando e-mail ou SMS para recuperação de contas. Ele também aconselhou os usuários que já usaram opções de recuperação de e-mail ou SMS com sua carteira NEAR para “girar suas chaves” ou adicionar uma carteira de hardware, como o Ledger.
De acordo com o Hacxyk, o modelo de conta de carteira para carteiras NEAR é um pouco diferente do Ethereum. Uma conta de criptografia pode ter vários conjuntos de chaves com permissões diferentes. Ao girar as chaves privadas, o NEAR está dizendo aos usuários para revogar os conjuntos de chaves potencialmente vazados e adicionar novos para substituí-los.
Um cofundador do NEAR Protocol não respondeu imediatamente ao pedido de comentário do The Block.
© 2022 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss