قام بروتوكول NEAR ، وهو عبارة عن blockchain من الطبقة الأولى ، بإخطار المستخدمين بأن بيانات الرسائل القصيرة والبريد الإلكتروني المستخدمة كخيارات استرداد في عرض محفظته الأساسية قد تم تسريبها إلى طرف ثالث في يونيو. في تقرير جديد، قال NEAR إن المشكلة تم حلها قبل حدوث أي ضرر.
يتيح عرض محفظة NEAR Protocol في wallet.near.org للمستخدمين إضافة خيارات الاسترداد بما في ذلك بيانات البريد الإلكتروني أو أرقام الهواتف إلى حسابات محفظة التشفير الخاصة بهم. كشف خطأ في النظام عن طريق الخطأ تفاصيل حساسة لطرف ثالث.
قالت NEAR إنها تمكنت من معالجة الموقف بسرعة عن طريق حذف الوصول إلى البيانات من الطرف الثالث أو موظفيها ، مما يمنع الخرق من أن يشكل تهديدًا لأمن الأموال أو خصوصية المستخدمين.
قال الفريق: "عالج فريق المحفظة الموقف على الفور ، ونظف جميع البيانات الحساسة ، وحدد أي أفراد يمكن أن يكون لديهم القدرة على الوصول إلى هذه البيانات".
تم الإبلاغ عن الخطأ في 6 يونيو من قبل شركة تدقيق أمان الويب 3 تدعى Hacxyk ، والتي تم دفع مكافأة قدرها 50,000 ألف دولار. لا يزال قرب البروتوكول لم يشارك الفريق المعلومات حتى الآن.
أخبر Hacxyk The Block أن الطرف الثالث هو Mixpanel ، وهي خدمة تحليلات ، تستخدمها NEAR. قارن Hacxyk الحادث بالجاري محفظة المنحدر المشكلة التي تم فيها إرسال تفاصيل المحفظة بطريق الخطأ إلى خادم مركزي. وأضافت أنه في حالة NEAR ، ربما تم اختراق المفاتيح الخاصة أيضًا.
"نعتقد أن الطبيعة مشابهة جدًا لاختراق محفظة Slope الأخير على Solana. باختصار ، تم تسريب العبارات الأولية دون علم إلى الطرف الثالث Mixpanel ، وهي خدمة تحليلات ، عندما اختار المستخدمون البريد الإلكتروني / الرسائل القصيرة كطريقة لاستعادة العبارة الأولية. وهذا يعني أن عبارات المستخدمين الأولية مخزنة في خادم Mixpanel ، "قال Hacxyk.
كإجراء أمني ، قال بروتوكول NEAR إنه لم يعد يسمح للمستخدمين بإنشاء حسابات باستخدام البريد الإلكتروني أو الرسائل القصيرة لاستعادة الحساب. كما نصحت المستخدمين الذين سبق لهم استخدام خيارات استرداد البريد الإلكتروني أو الرسائل القصيرة مع محفظة NEAR الخاصة بهم بـ "تدوير مفاتيحهم" أو إضافة محفظة أجهزة ، مثل Ledger.
وفقًا لـ Hacxyk ، يختلف نموذج حساب المحفظة لمحافظ NEAR قليلاً عن Ethereum. يمكن أن يحتوي حساب التشفير على مجموعات مفاتيح متعددة بأذونات مختلفة. من خلال تدوير المفاتيح الخاصة ، تخبر NEAR المستخدمين بإلغاء مجموعات المفاتيح التي يُحتمل أن تتسرب ، وإضافة مجموعات جديدة لاستبدالها.
لم يرد أحد مؤسسي بروتوكول NEAR على الفور على طلب The Block للتعليق.
© 2022 The Block Crypto، Inc. جميع الحقوق محفوظة. يتم توفير هذه المقالة لأغراض إعلامية فقط. لا يُعرض أو يُقصد استخدامه كمشورة قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
المصدر: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets؟utm_source=rss&utm_medium=rss