NEAR Protocol, una cadena de bloques de capa 1, notificó a los usuarios que los datos de SMS y correo electrónico utilizados como opciones de recuperación en su oferta principal de billetera se filtraron a un tercero en junio. En un nuevo informe, NEAR dijo que el problema se resolvió antes de que se hiciera daño.
La oferta de billetera de NEAR Protocol en wallet.near.org permite a los usuarios agregar opciones de recuperación que incluyen datos de correo electrónico o números de teléfono a sus cuentas de billetera criptográfica. Un error en el sistema expuso accidentalmente detalles confidenciales a un tercero.
NEAR dijo que pudo abordar rápidamente la situación al eliminar el acceso a los datos del tercero o de sus propios empleados, evitando que la violación sea una amenaza para la seguridad de los fondos o la privacidad de los usuarios.
“El equipo de la billetera remedió la situación de inmediato, eliminó todos los datos confidenciales e identificó a cualquier miembro del personal que podría haber tenido la capacidad de acceder a estos datos”, dijo el equipo.
El error fue informado el 6 de junio por una firma de auditoría de seguridad web3 llamada Hacxyk, que recibió una recompensa de $ 50,000. Aún así, el Protocolo CERCA El equipo no había compartido la información hasta ahora.
Hacxyk le dijo a The Block que el tercero era Mixpanel, un servicio de análisis, que usaba NEAR. Hacxyk comparó el incidente con el actual Cartera pendiente Problema en el que los detalles de la billetera se transmitieron accidentalmente a un servidor centralizado. Agregó que en el caso de NEAR, Es posible que las claves privadas también se hayan visto comprometidas.
“Creemos que la naturaleza es muy similar al reciente hackeo de la billetera Slope en Solana. En resumen, las frases iniciales se filtraron sin saberlo al Mixpanel de terceros, un servicio de análisis, cuando los usuarios eligieron el correo electrónico/SMS como método de recuperación de frases iniciales. Esto significa que las frases iniciales de los usuarios se almacenan en el servidor de Mixpanel”, dijo Hacxyk.
Como medida de seguridad, el Protocolo NEAR dijo que ya no permite a los usuarios crear cuentas usando correo electrónico o SMS para la recuperación de cuentas. También aconsejó a los usuarios que anteriormente habían usado las opciones de recuperación de correo electrónico o SMS con su billetera NEAR que "giraran sus claves" o agregaran una billetera de hardware, como Ledger.
Según Hacxyk, el modelo de cuenta de billetera para las billeteras NEAR es ligeramente diferente al de Ethereum. Una cuenta criptográfica puede tener múltiples conjuntos de claves con diferentes permisos. Al rotar las claves privadas, NEAR les dice a los usuarios que revoquen los conjuntos de claves potencialmente filtrados y agreguen otros nuevos para reemplazarlos.
Un cofundador de NEAR Protocol no respondió de inmediato a la solicitud de comentarios de The Block.
© 2022 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss