と呼ばれるレイヤー1ブロックチェーン NEARプロトコル は6月に、同社の基本的なウォレットサービスで回復オプションとして使用されているSMSと電子メールのデータが侵害されたことを消費者に通知した。 NEAR からの最近のレポートによると、この問題は損害が発生する前に修正されたとのことです。
ユーザーは、NEAR Protocol(wallet.near.org)が提供するウォレット サービスを使用して、電子メール アドレスや電話番号などの回復オプションを暗号通貨ウォレット アカウントに追加できます。システムのバグにより、機密情報が意図せず第三者に公開されてしまいました。
NEARは、この侵害がユーザーのプライバシーや財務上の安全を脅かすのを阻止するため、第三者または自社の担当者によるデータへのアクセスを消去することで、この状況に迅速に対処することができたと述べた。
「ウォレットチームは直ちに状況を修復し、すべての機密データを消去し、このデータにアクセスできる可能性のある職員を特定した」とチームは述べた。
A Hacxyk という Web3 セキュリティ監査会社が 50,000 ドルの報酬を受け取りましたしかし、NEAR プロトコル チームは最近まで詳細を秘密にしていた。
NEAR Protocol による分析プロバイダー Mixpanel の使用
Hacxyk氏によると、第三者とは次のとおりです。 NEAR による分析プロバイダー Mixpanel の使用。 Hacxyk氏はこの状況を、ウォレット情報が意図せず中央サーバーに送信されてしまうという現在のスロープウォレット問題に例えた。さらに、NEARの事例では秘密鍵も侵害された可能性があると述べた。
「私たちは、その性質がソラナに対する最近のスロープウォレットハッキングと非常に似ていると信じています。つまり、ユーザーがシード フレーズの回復方法として電子メール/SMS を選択した場合、シード フレーズは知らないうちにサードパーティの分析サービスである Mixpanel に漏洩していました。これは、ユーザーのシード フレーズが Mixpanel のサーバーに保存されることを意味します」と Hacxyk 氏は述べています。
NEAR プロトコルは、ユーザーが電子メールや SMS を利用してアカウントを作成することを許可しなくなったと発表しました。 セキュリティ対策としてのアカウント回復のため。また、顧客が以前にNEARウォレットで電子メールまたはSMS回復手段を使用していた場合、「キーをローテーション」するか、Ledgerなどのハードウェアウォレットを追加することも提案しました。
Hacxyk氏によると、NEARウォレットのウォレットアカウントモデルはイーサリアムのものとは若干異なります。暗号化アカウントには、さまざまなレベルのアクセスを持つ複数のキーセットがある場合があります。 NEAR は、侵害された可能性のあるキーセットを取り消すようユーザーに指示します秘密鍵をローテーションすることで、その場所に新しい鍵を追加します。
免責事項:このウェブサイト上の情報は、一般的な市場の解説として提供されており、投資アドバイスを構成するものではありません。 投資する前に、独自の調査を行うことをお勧めします。
CoinCu Telegramに参加して、ニュースを追跡します。 https://t.me/coincunews
CoinCuYoutubeチャンネルをフォローする | CoinCuFacebookページをフォローする
アニー
CoinCuニュース