NEAR Protocol, une blockchain de couche 1, a informé les utilisateurs que les données SMS et e-mail utilisées comme options de récupération dans son offre de portefeuille principale ont été divulguées à un tiers en juin. Dans un nouveau rapport, NEAR a déclaré que le problème avait été résolu avant que le mal ne soit fait.
L'offre de portefeuille de NEAR Protocol sur wallet.near.org permet aux utilisateurs d'ajouter des options de récupération, notamment des données de courrier électronique ou des numéros de téléphone, à leurs comptes de portefeuille crypto. Un bogue dans le système a accidentellement exposé des détails sensibles à un tiers.
NEAR a déclaré qu'il était en mesure de remédier rapidement à la situation en supprimant l'accès aux données du tiers ou de ses propres employés, empêchant la violation de constituer une menace pour la sécurité des fonds ou la confidentialité des utilisateurs.
"L'équipe du portefeuille a immédiatement remédié à la situation, effacé toutes les données sensibles et identifié tout le personnel qui aurait pu avoir la possibilité d'accéder à ces données", a déclaré l'équipe.
Le bogue a été signalé le 6 juin par une société d'audit de sécurité Web3 appelée Hacxyk, qui a reçu une prime de 50,000 XNUMX $. Pourtant, le Protocole NEAR l'équipe n'avait pas partagé l'information jusqu'à présent.
Hacxyk a déclaré à The Block que le tiers était Mixpanel, un service d'analyse utilisé par NEAR. Hacxyk a comparé l'incident à l'actuel Portefeuille Pente problème dans lequel les détails du portefeuille ont été accidentellement transmis à un serveur centralisé. Il a ajouté que dans le cas de NEAR, les clés privées peuvent également avoir été compromises.
«Nous pensons que la nature est très similaire au récent piratage du portefeuille Slope sur Solana. En bref, les phrases de départ ont été divulguées sans le savoir au Mixpanel tiers, un service d'analyse, lorsque les utilisateurs ont choisi l'e-mail/SMS comme méthode de récupération des phrases de départ. Cela signifie que les phrases de départ des utilisateurs sont stockées sur le serveur de Mixpanel », a déclaré Hacxyk.
Par mesure de sécurité, le protocole NEAR a déclaré qu'il n'autorisait plus les utilisateurs à créer des comptes à l'aide d'e-mails ou de SMS pour la récupération de compte. Il a également conseillé aux utilisateurs qui avaient précédemment utilisé les options de récupération par e-mail ou SMS avec leur portefeuille NEAR de "faire pivoter leurs clés" ou d'ajouter un portefeuille matériel, tel que Ledger.
Selon Hacxyk, le modèle de compte de portefeuille pour les portefeuilles NEAR est légèrement différent d'Ethereum. Un compte crypto peut avoir plusieurs jeux de clés avec différentes autorisations. En faisant tourner les clés privées, NEAR demande aux utilisateurs de révoquer les jeux de clés potentiellement divulgués et d'en ajouter de nouveaux pour les remplacer.
Un co-fondateur du protocole NEAR n'a pas immédiatement répondu à la demande de commentaire de The Block.
© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss