NEAR Protocol,u na blockchain di livello 1, ha informato gli utenti che i dati di SMS ed e-mail utilizzati come opzioni di ripristino nella sua offerta di portafoglio principale erano stati compromessi a giugno.
Secondo un recente rapporto di NEAR, il problema è stato tuttavia risolto prima che si verificasse qualsiasi danno.
Gli utenti di NEAR Protocol possono aggiungere opzioni di recupero, come indirizzi e-mail o numeri di telefono, ai loro account di portafoglio crittografico utilizzando il servizio di portafoglio fornito da NEAR Protocol su wallet.near.org. Le informazioni sensibili sono state rese disponibili involontariamente a terzi a causa di un bug di sistema.
Al fine di impedire che la violazione costituisca una minaccia per la privacy degli utenti o la sicurezza finanziaria, NEAR ha affermato di essere stata in grado di affrontare rapidamente la situazione eliminando l’accesso ai dati da parte di terzi o dei propri dipendenti.
La violazione dei dati e la pronta soluzione
Il team ha affermato di aver “risolto immediatamente la situazione, cancellato tutti i dati sensibili e identificato il personale che avrebbe potuto avere accesso a questi dati”.
Una società di controllo della sicurezza web3 chiamata Hacxyk ha ricevuto una ricompensa di ben 50.000 dollari per aver scoperto il bug il 6 giugno appena passato. Ma fino a poche ore fa, il team del protocollo NEAR aveva tenuto per sé i dettagli.
La terza parte, secondo Hacxyk, era l’uso da parte di NEAR del servizio di analisi Mixpanel. Hacxyk ha paragonato l’incidente al problema in corso con Slope Wallet, in cui le informazioni sul portafoglio sono state inviate involontariamente a un server centrale. Inoltre, ha affermato che anche le chiavi private potrebbero essere compromesse nel caso di NEAR.
“Il recente hack del portafoglio Slope su Solana, a nostro avviso, è di natura molto simile. In breve, quando gli utenti selezionano e-mail/SMS come metodo di recupero delle frasi iniziali, questi dati estremamente riservati sono involontariamente visibili e archiviabili da Mixpanel. Un servizio di analisi di terze parti. Ciò indica che il server che esegue Mixpanel memorizza le frasi seme degli utenti “. Questa la dichiarazione di Hacxyk in un’intervista rilasciata a The Block.
La soluzione di NEAR Protocol
Il protocollo NEAR rassicura sul fatto che non consente più agli utenti di creare account utilizzando e-mail o SMS per il recupero dell’account come misura di sicurezza. Suggeriva inoltre agli utenti di “ruotare le chiavi”. Oppure aggiungere un portafoglio hardware, come Ledger, se avevano precedentemente utilizzato le opzioni di ripristino di e-mail o SMS con il proprio portafoglio NEAR.
Secondo Hacxyk, il modello di account wallet di NEAR wallet differisce leggermente da quello di Ethereum. Un account crittografico può contenere diversi keyset con vari livelli di accesso. NEAR indica agli utenti di revocare qualsiasi keyset potenzialmente compromesso e di aggiungerne di nuovi al loro posto ruotando le chiavi private.