Das NEAR-Protokoll, eine Layer-1-Blockchain, informierte die Benutzer darüber, dass SMS- und E-Mail-Daten, die als Wiederherstellungsoptionen in seinem Core-Wallet-Angebot verwendet wurden, im Juni an Dritte weitergegeben wurden. In einem neuen Bericht, NEAR sagte, dass das Problem gelöst wurde, bevor Schaden angerichtet wurde.
Das Wallet-Angebot des NEAR-Protokolls unter wallet.near.org ermöglicht es Benutzern, Wiederherstellungsoptionen wie E-Mail-Daten oder Telefonnummern zu ihren Krypto-Wallet-Konten hinzuzufügen. Ein Fehler im System hat versehentlich vertrauliche Details an Dritte weitergegeben.
NEAR sagte, es sei in der Lage gewesen, die Situation schnell anzugehen, indem der Zugriff auf die Daten von Dritten oder seinen eigenen Mitarbeitern gelöscht wurde, wodurch verhindert wurde, dass die Verletzung eine Bedrohung für die Sicherheit der Gelder oder die Privatsphäre der Benutzer darstellt.
„Das Wallet-Team hat die Situation sofort behoben, alle sensiblen Daten bereinigt und alle Mitarbeiter identifiziert, die auf diese Daten hätten zugreifen können“, sagte das Team.
Der Fehler wurde am 6. Juni von einer Web3-Sicherheitsprüfungsfirma namens Hacxyk gemeldet, die eine Prämie von 50,000 US-Dollar erhielt. Immernoch NEAR-Protokoll Team hatte die Informationen bis jetzt nicht geteilt.
Hacxyk sagte gegenüber The Block, dass es sich bei dem Drittanbieter um Mixpanel handele, einen Analysedienst, den NEAR nutzte. Hacxyk verglich den Vorfall mit dem Fortlaufenden Slope-Geldbörse Problem, bei dem Brieftaschendetails versehentlich an einen zentralen Server übertragen wurden. Es fügte hinzu, dass im Fall von NEAR Private Schlüssel könnten ebenfalls kompromittiert worden sein.
„Wir glauben, dass die Natur dem jüngsten Slope-Wallet-Hack auf Solana sehr ähnlich ist. Kurz gesagt, die Seed-Phrasen wurden unwissentlich an den Drittanbieter Mixpanel, einen Analysedienst, weitergegeben, als Benutzer E-Mail/SMS als Seed-Phrase-Wiederherstellungsmethode wählten. Das bedeutet, dass die Seed-Phrasen der Benutzer auf dem Server von Mixpanel gespeichert werden“, sagte Hacxyk.
Als Sicherheitsmaßnahme erlaubt das NEAR-Protokoll Benutzern nicht mehr, Konten per E-Mail oder SMS zur Kontowiederherstellung zu erstellen. Es riet auch Benutzern, die zuvor E-Mail- oder SMS-Wiederherstellungsoptionen mit ihrer NEAR-Brieftasche verwendet hatten, „ihre Schlüssel zu rotieren“ oder eine Hardware-Brieftasche wie Ledger hinzuzufügen.
Laut Hacxyk unterscheidet sich das Wallet-Kontomodell für NEAR-Wallets geringfügig von Ethereum. Ein Kryptokonto kann mehrere Keysets mit unterschiedlichen Berechtigungen haben. Durch die Rotation privater Schlüssel fordert NEAR die Benutzer auf, die möglicherweise geleakten Schlüsselsätze zu widerrufen und neue hinzuzufügen, um sie zu ersetzen.
Ein Mitbegründer des NEAR-Protokolls antwortete nicht sofort auf die Bitte von The Block um einen Kommentar.
© 2022 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss