Near Protocol 披露可能已暴露私钥的钱包违规行为

2022-08-08 10:12:24 10365 0
CKFI

区块链网络Near Protocol披露了 6 月发现的安全漏洞,这可能导致第三方服务获得用户钱包的种子短语的访问权限。


Near周四分享了一篇关于该漏洞的博客文章,该漏洞由安全公司 Hacxyk 于 6 月 6 日向团队报告。当时,该平台允许用户将电子邮件地址或电话号码设置为 Near Wallet 的恢复选项,使他们能够通过电子邮件或短信重新获得对钱包的访问权限。


但是,恢复系统可能会在此过程中暴露用户的助记词——用于恢复对加密钱包的访问的私钥。根据Hacxyk的推文线程,使用电子邮件恢复选项会将种子短语泄露给特定的第三方,即分析平台Mixpanel




“这允许任何有权访问 [the] Mixpanel 访问日志的人,或 Mixpanel 帐户所有者(例如 Near 开发人员)都可以访问单击恢复电子邮件中链接的每个人,”Hacxyk 发推文说。“一种可能的情况是 [that] Mixpanel 所有者的帐户遭到入侵。”


Near 表示,它在报告当天解决了问题,删除了泄露的信息,并确定了可能访问该信息的人。Hacxyk 还因发现漏洞而获得了漏洞赏金。然而,直到周三 Hacxyk 通过 Twitter 向公众披露了这一安全事件。


Hacxyk 分享了 Near 漏洞,因为它与本周Solana 钱包黑客的技术相似。Solana的案例中,一个名为 Slope 的移动钱包存在一个漏洞,该漏洞使潜在的攻击者能够访问用户的私钥。


根据区块链浏览器 Solscan的最新数据,最终,价值近 600 万美元的加密货币和代币从 10,500 多个独特的 Solana 钱包中被盗


Near 报告称,在用户的钱包受到任何损害之前,它的问题就得到了处理。“迄今为止,我们没有发现与意外收集这些数据有关的妥协迹象,我们也没有理由相信这些数据会在任何地方持续存在,”Near 的帖子写道。


不过,Near 建议之前启用电子邮件或 SMS 恢复选项的任何用户轮换附加到其钱包的密钥,并禁用恢复选项。Near 不再让新创建的钱包使用电子邮件或短信恢复选项。


与此同时,为了安全起见,Hacxyk建议之前选择了电子邮件恢复选项的任何人将其资产转移到新钱包中。


CoinGecko 称,NEAR 代币在过去 24 小时内上涨了近 15%,当前价格为每个代币 5.13 美元。在此期间,更广泛的加密货币市场仅上涨了约 2%。


免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。

本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复

分享
海报
10365
上一篇:Aave 提案将在安全担忧中切断幻想 下一篇:Web3 建设者和律师手册:如何有效进行去中心化链下活动?
请文明发言哦~

忘记密码?

图形验证码