O NEAR Protocol, um blockchain de camada 1, notificou os usuários de que dados de SMS e e-mail usados como opções de recuperação em sua oferta de carteira principal vazaram para terceiros em junho. Em uma nova postagem no blog , a NEAR disse que o problema foi resolvido antes que qualquer dano fosse causado.
A oferta de carteira do NEAR Protocol em wallet.near.org permite que os usuários adicionem opções de recuperação, incluindo dados de e-mail ou números de telefone às suas contas de carteira criptográfica. Um bug no sistema expôs acidentalmente detalhes confidenciais a terceiros. A NEAR disse que conseguiu resolver rapidamente a situação excluindo o acesso aos dados de terceiros ou de seus próprios funcionários, evitando que a violação seja uma ameaça à segurança dos fundos ou à privacidade dos usuários.
“A equipe da carteira corrigiu imediatamente a situação, limpou todos os dados confidenciais e identificou qualquer pessoa que pudesse acessar esses dados”, disse a equipe.
O bug foi relatado em 6 de junho por uma equipe de hackers éticos chamada Hacxyk, que recebeu uma recompensa. Ainda assim, a equipe do NEAR Protocol não havia compartilhado as informações até agora. Hacxyk disse ao The Block que o terceiro era o Mixpanel, um serviço de análise, e comparou o incidente a um problema contínuo da Slope Wallet em que os detalhes foram acidentalmente transmitidos para um servidor centralizado. Hacxyk acrescentou que as chaves privadas também podem ter sido comprometidas.
“Acreditamos que a natureza é muito semelhante ao hack recente da carteira Slope em Solana. Resumindo, as frases iniciais foram vazadas sem saber para o terceiro Mixpanel, um serviço de análise, quando os usuários escolheram e-mail/sms como método de recuperação de frases iniciais. Isso significa que as frases iniciais dos usuários são armazenadas no servidor do Mixpanel”, disse Hacxyk.
Como medida de segurança, o protocolo NEAR disse que não permite mais que os usuários criem contas usando e-mail ou SMS para recuperação de contas. Ele também aconselhou os usuários que já usaram opções de recuperação de e-mail ou SMS com sua carteira NEAR para “girar suas chaves” ou adicionar uma carteira de hardware, como o Ledger. De acordo com o Hacxyk, o modelo de conta de carteira para carteiras NEAR é um pouco diferente do Ethereum. Uma conta de criptografia pode ter vários conjuntos de chaves com permissões diferentes. Ao girar as chaves privadas, o NEAR está dizendo aos usuários para revogar os conjuntos de chaves potencialmente vazados e adicionar novos para substituí-los.
