レイヤ 1 ブロックチェーンである NEAR Protocol は、XNUMX 月に、主要なウォレット サービスで回復オプションとして使用される SMS および電子メール データが第三者に漏洩したことをユーザーに通知しました。 新しいレポートで、NEARは、被害が発生する前に問題が解決されたと述べました。
wallet.near.org で提供される NEAR Protocol のウォレットにより、ユーザーは電子メール データや電話番号などの回復オプションを仮想ウォレット アカウントに追加できます。 システムのバグにより、機密情報が誤って第三者に公開されました。
NEAR は、サードパーティまたは自社の従業員からデータへのアクセスを削除することで、この状況に迅速に対処でき、侵害がユーザーのセキュリティやプライバシーへの資金提供の脅威になるのを防ぐことができたと述べています。
「ウォレット チームは直ちに状況を改善し、すべての機密データを消去し、このデータにアクセスできた可能性のある人物を特定しました」とチームは述べています。
このバグは 6 月 3 日に Web50,000 セキュリティ監査会社 Hacxyk によって報告され、XNUMX ドルの報奨金が支払われました。 それでも、 NEARプロトコル チームは今まで情報を共有していませんでした。
Hacxyk は The Block に、サードパーティは NEAR が使用した分析サービスである Mixpanel であると語った。 Hacxyk は、インシデントを現在進行中のものと比較しました スロープウォレット ウォレットの詳細が中央サーバーに誤って送信された問題。 NEARの場合、 秘密鍵も侵害されている可能性があります。
「その性質は、Solana に対する最近の Slope ウォレットのハッキングと非常によく似ていると考えています。 つまり、ユーザーがシード フレーズの回復方法として電子メール/SMS を選択したときに、シード フレーズがサードパーティの分析サービスである Mixpanel に知らず知らずのうちに漏洩したのです。 これは、ユーザーのシード フレーズが Mixpanel のサーバーに保存されることを意味します」と Hacxyk 氏は述べています。
セキュリティ対策として、NEARプロトコルは、ユーザーがアカウント回復のために電子メールまたはSMSを使用してアカウントを作成することを許可しないと述べました. また、以前に NEAR ウォレットで電子メールまたは SMS の回復オプションを使用していたユーザーには、「キーをローテーションする」か、Ledger などのハードウェア ウォレットを追加するようアドバイスしました。
Hacxyk によると、NEAR ウォレットのウォレット アカウント モデルは Ethereum とは少し異なります。 暗号化アカウントは、異なる権限を持つ複数のキーセットを持つことができます。 秘密鍵をローテーションすることで、NEAR はユーザーに漏えいした可能性のある鍵セットを取り消し、新しい鍵セットを追加してそれらを置き換えるように指示しています。
NEAR Protocol の共同創設者は、The Block のコメントの要求にすぐには応答しませんでした。
©2022 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。
ソース: https://www.theblock.co/post/161675/near-protocol-discloses-breach-of-email-and-sms-data-tied-to-user-wallets?utm_source=rss&utm_medium=rss