NEAR Protocol, en Layer 1 blockchain, meddelade användarna att SMS och e-postdata som används som återställningsalternativ i dess kärnplånbokserbjudande läckte ut till en tredje part i juni. I en ny rapport, sade NEAR att problemet var löst innan någon skada skedde.
NEAR Protocols plånbokserbjudande på wallet.near.org tillåter användare att lägga till återställningsalternativ inklusive e-postdata eller telefonnummer till sina kryptoplånbokskonton. En bugg i systemet avslöjade av misstag känsliga detaljer för en tredje part.
NEAR sa att det snabbt kunde åtgärda situationen genom att ta bort åtkomst till data från tredje part eller dess egna anställda, vilket förhindrade att intrånget utgör ett hot mot fondsäkerheten eller användarnas integritet.
"Plånboksteamet åtgärdade omedelbart situationen, skrubbade all känslig data och identifierade all personal som kunde ha haft möjlighet att komma åt denna data," sa teamet.
Felet rapporterades den 6 juni av ett webb3-säkerhetsrevisionsföretag som heter Hacxyk, som fick en pris på 50,000 XNUMX USD. Ändå Nära protokoll teamet hade inte delat informationen förrän nu.
Hacxyk berättade för The Block att den tredje parten var Mixpanel, en analystjänst som NEAR använde. Hacxyk jämförde händelsen med den pågående Slope plånbok problem där plånboksinformation av misstag överfördes till en centraliserad server. Den tillade att i NEAR:s fall, privata nycklar kan också ha äventyrats.
"Vi tror att naturen är mycket lik det senaste Slope-plånbokhacket på Solana. Kort sagt läckte fröfraserna omedvetet till den tredje parten Mixpanel, en analystjänst, när användare valde e-post/SMS som återställningsmetod för frönfraser. Detta innebär att användarnas frönsfraser lagras på Mixpanels server”, sa Hacxyk.
Som en säkerhetsåtgärd sa NEAR-protokollet att det inte längre tillåter användare att skapa konton med e-post eller SMS för kontoåterställning. Den rådde också användare som tidigare hade använt e-post- eller SMS-återställningsalternativ med sin NEAR-plånbok att "rotera sina nycklar" eller lägga till en hårdvaruplånbok, som Ledger.
Per Hacxyk skiljer sig plånboksmodellen för NEAR-plånböcker något från Ethereum. Ett kryptokonto kan ha flera nyckeluppsättningar med olika behörigheter. Genom att rotera privata nycklar säger NEAR åt användarna att återkalla de potentiellt läckta nycklarna och lägga till nya för att ersätta dem.
En NEAR Protocol-grundare svarade inte omedelbart på The Blocks begäran om kommentar.
© 2022 The Block Crypto, Inc. Alla rättigheter förbehållna. Den här artikeln är endast avsedd för informationsändamål. Det erbjuds inte eller är avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.
Källa: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss