پروتکل NEAR، یک بلاک چین لایه 1، به کاربران اطلاع داد که دادههای پیامک و ایمیلی که به عنوان گزینههای بازیابی در ارائه کیف پول اصلی آن استفاده میشوند، در ماه ژوئن به شخص ثالث درز کرده است. در گزارشی جدید، NEAR گفت که این مشکل قبل از هر گونه آسیب حل شد.
ارائه کیف پول پروتکل NEAR در wallet.near.org به کاربران امکان می دهد گزینه های بازیابی از جمله داده های ایمیل یا شماره تلفن را به حساب های کیف پول رمزنگاری خود اضافه کنند. یک اشکال در سیستم به طور تصادفی جزئیات حساس را در معرض یک شخص ثالث قرار داد.
NEAR گفت که توانسته است با حذف دسترسی به داده ها از طرف شخص ثالث یا کارمندان خود، به سرعت به وضعیت رسیدگی کند و از تهدیدی برای امنیت منابع مالی یا حریم خصوصی کاربران جلوگیری کند.
این تیم گفت: «تیم کیف پول بلافاصله وضعیت را اصلاح کرد، تمام دادههای حساس را پاکسازی کرد و هر پرسنلی را که میتوانست به این دادهها دسترسی داشته باشد شناسایی کرد.
این اشکال در 6 ژوئن توسط یک شرکت حسابرسی امنیتی web3 به نام Hacxyk گزارش شد که 50,000 دلار جایزه پرداخت شد. با این حال، پروتکل نزدیک تیم تا کنون اطلاعاتی را به اشتراک نگذاشته بود.
Hacxyk به The Block گفت که شخص ثالث Mixpanel است، یک سرویس تحلیلی که NEAR از آن استفاده میکرد. Hacxyk این حادثه را با اتفاقات جاری مقایسه کرد کیف پول شیب دار مشکلی که در آن جزئیات کیف پول به طور تصادفی به یک سرور متمرکز منتقل شد. اضافه کرد که در مورد NEAR، ممکن است کلیدهای خصوصی نیز به خطر افتاده باشند.
ما معتقدیم که ماهیت آن بسیار شبیه به هک کیف پول Slope اخیر در سولانا است. به طور خلاصه، زمانی که کاربران ایمیل/اس ام اس را به عنوان روش بازیابی عبارت اولیه انتخاب کردند، عبارات اولیه به طور ناآگاهانه در اختیار شخص ثالث Mixpanel، یک سرویس تحلیلی قرار گرفتند. این بدان معناست که عبارات اولیه کاربران در سرور Mixpanel ذخیره می شوند.
به عنوان یک اقدام امنیتی، پروتکل NEAR اعلام کرد که دیگر به کاربران اجازه نمیدهد با استفاده از ایمیل یا پیامک برای بازیابی حساب کاربری ایجاد کنند. همچنین به کاربرانی که قبلاً از گزینه های بازیابی ایمیل یا پیامک با کیف پول NEAR خود استفاده کرده بودند، توصیه کرد که «کلیدهای خود را بچرخانند» یا یک کیف پول سخت افزاری مانند Ledger اضافه کنند.
از نظر Hacxyk، مدل حساب کیف پول برای کیف پولهای NEAR کمی با اتریوم متفاوت است. یک حساب رمزنگاری میتواند چندین مجموعه کلید با مجوزهای مختلف داشته باشد. با چرخاندن کلیدهای خصوصی، NEAR به کاربران میگوید که کلیدهای بالقوه لو رفته را لغو کنند و کلیدهای جدیدی را برای جایگزینی آنها اضافه کنند.
یکی از بنیانگذاران پروتکل NEAR بلافاصله به درخواست The Block برای اظهار نظر پاسخ نداد.
© 2022 کلیه حقوق این سایت متعلق به Block Crypto ، Inc. این مقاله فقط برای مقاصد اطلاعاتی ارائه شده است. این پیشنهاد یا در نظر گرفته نشده است که به عنوان مشاوره قانونی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد استفاده شود.
منبع: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss