NEAR Protocol, блокчейн от ниво 1, уведоми потребителите, че SMS и имейл данни, използвани като опции за възстановяване в основното му предложение за портфейл, са изтекли към трети страни през юни. В нова публикация на блог , NEAR каза, че проблемът е разрешен, преди да бъдат нанесени щети.
Предложението за портфейл NEAR Protocol на wallet.near.org позволява на потребителите да добавят опции за възстановяване, включително имейл данни или телефонни номера към своите акаунти в крипто портфейла. Грешка в системата случайно изложи чувствителни подробности на трети страни. NEAR заяви, че е успял бързо да разреши ситуацията, като изключи достъпа до данни от трети страни или собствените си служители, предотвратявайки пробива да бъде заплаха за сигурността на средствата или поверителността на потребителите.
„Екипът на портфейла незабавно коригира ситуацията, изчисти всички чувствителни данни и идентифицира всеки, който има достъп до тези данни“, каза екипът.
Грешката беше докладвана на 6 юни от екип от етични хакери, наречени Hacxyk, които получиха награда. Все пак екипът на NEAR Protocol не беше споделил информацията досега. Hacxyk каза пред The Block, че третата страна е Mixpanel, услуга за анализ, и оприличи инцидента с продължаващ проблем с Slope Wallet, при който подробностите случайно са били прехвърлени към централизиран сървър. Hacxyk добави, че частните ключове също може да са били компрометирани.
„Вярваме, че природата е много подобна на неотдавнашния хак на портфейла на Slope на Solana. Накратко, началните изречения бяха изтекли несъзнателно към третата страна Mixpanel, услуга за анализ, когато потребителите избраха имейл/sms като метод за възстановяване на началното изречение. Това означава, че първоначалните фрази на потребителите се съхраняват на сървъра на Mixpanel,” каза Hacxyk.
Като мярка за сигурност протоколът NEAR каза, че вече не позволява на потребителите да създават акаунти, използвайки имейл или SMS за възстановяване на акаунт. Той също така посъветва потребителите, които вече са използвали имейл или SMS опции за възстановяване с портфейла си NEAR, да „обърнат ключовете си“ или да добавят хардуерен портфейл като Ledger. Според Hacxyk моделът на акаунта на портфейла за портфейлите NEAR е малко по-различен от Ethereum. Един акаунт за шифроване може да има множество комплекти ключове с различни разрешения. Чрез завъртане на частни ключове NEAR казва на потребителите да отменят потенциално изтекли набори от ключове и да добавят нови, за да ги заменят.
