NEAR Protocol, blockchain Layer 1, memberi tahu pengguna bahwa data SMS dan email yang digunakan sebagai opsi pemulihan dalam penawaran dompet intinya bocor ke pihak ketiga pada bulan Juni. Dalam laporan baru, DEKAT mengatakan masalah itu diselesaikan sebelum ada kerugian yang terjadi.
Penawaran dompet NEAR Protocol di wallet.near.org memungkinkan pengguna untuk menambahkan opsi pemulihan termasuk data email atau nomor telepon ke akun dompet kripto mereka. Bug dalam sistem secara tidak sengaja memaparkan detail sensitif ke pihak ketiga.
NEAR mengatakan dapat dengan cepat mengatasi situasi dengan menghapus akses ke data dari pihak ketiga atau karyawannya sendiri, mencegah pelanggaran menjadi ancaman terhadap keamanan dana atau privasi pengguna.
"Tim dompet segera memperbaiki situasi, menghapus semua data sensitif, dan mengidentifikasi personel yang memiliki kemampuan untuk mengakses data ini," kata tim tersebut.
Bug tersebut dilaporkan pada 6 Juni oleh firma audit keamanan web3 bernama Hacxyk, yang dibayar dengan hadiah $50,000. Tetap saja, DEKAT Protokol tim belum berbagi informasi sampai sekarang.
Hacxyk mengatakan kepada The Block bahwa pihak ketiga adalah Mixpanel, layanan analitik, yang digunakan NEAR. Hacxyk membandingkan insiden itu dengan yang sedang berlangsung Dompet Slope masalah di mana detail dompet secara tidak sengaja dikirim ke server terpusat. Ia menambahkan bahwa dalam kasus NEAR, kunci pribadi mungkin telah dikompromikan juga.
“Kami percaya sifatnya sangat mirip dengan peretasan dompet Slope baru-baru ini di Solana. Singkatnya, frase benih secara tidak sadar bocor ke Mixpanel pihak ketiga, sebuah layanan analitik, ketika pengguna memilih email/SMS sebagai metode pemulihan frase awal. Ini berarti seed phrase pengguna disimpan ke server Mixpanel,” kata Hacxyk.
Sebagai langkah keamanan, Protokol NEAR mengatakan tidak lagi mengizinkan pengguna untuk membuat akun menggunakan email atau SMS untuk pemulihan akun. Itu juga menyarankan pengguna yang sebelumnya menggunakan opsi pemulihan email atau SMS dengan dompet NEAR mereka untuk "memutar kunci mereka" atau menambahkan dompet perangkat keras, seperti Ledger.
Per Hacxyk, model akun dompet untuk dompet NEAR sedikit berbeda dari Ethereum. Akun kripto dapat memiliki beberapa set kunci dengan izin yang berbeda. Dengan memutar kunci pribadi, NEAR memberi tahu pengguna untuk mencabut kunci yang berpotensi bocor, dan menambahkan yang baru untuk menggantikannya.
Salah satu pendiri NEAR Protocol tidak segera menanggapi permintaan komentar dari The Block.
© 2022 The Block Crypto, Inc. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.
Sumber: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss