Near Protocol révèle une violation de portefeuille pouvant avoir exposé des clés privées
En bref
- Near Protocol a révélé cette semaine avoir découvert une vulnérabilité de portefeuille en juin qui aurait pu exposer les phrases de départ des utilisateurs.
- Le problème aurait été résolu en juin, mais n’a été révélé au public que cette semaine.
Réseau blockchain Proche du protocole a révélé une faille de sécurité découverte en juin, qui aurait pu permettre à un service tiers d’accéder aux phrases clés de l’utilisateur portefeuilles.
À proximité partagé un article de blog jeudi à propos de la violation, qui a été signalée à l’équipe le 6 juin par la société de sécurité Hacxyk. À l’époque, la plate-forme permettait aux utilisateurs de définir une adresse e-mail ou un numéro de téléphone comme option de récupération pour un portefeuille proche, leur permettant de retrouver l’accès à un portefeuille par e-mail ou SMS.
Cependant, le système de récupération a potentiellement exposé les phrases de départ des utilisateurs – les clés privées utilisées pour récupérer l’accès à un portefeuille cryptographique – au cours du processus. Selon un fil de tweet de Hacxyk, l’utilisation de l’option de récupération de courrier électronique divulguerait la phrase de départ à un tiers spécifique, la plate-forme d’analyse Panneau mixte.
« Cela permet à toute personne ayant accès à [the] Journal d’accès Mixpanel, ou le propriétaire du compte Mixpanel (par exemple, les développeurs proches) pour avoir accès à tous ceux qui ont cliqué sur le lien dans l’e-mail de récupération », a tweeté Hacxyk. « Un scénario probable serait [that] le compte du propriétaire du Mixpanel a été compromis.
Near a déclaré avoir résolu le problème le jour où il a été signalé, supprimé les informations divulguées et identifié qui aurait pu y avoir accès. Hacxyk a également reçu une prime de bogue pour avoir découvert la brèche. Cependant, l’incident de sécurité n’avait apparemment pas été révélé au public jusqu’à ce que Hacxyk le fasse mercredi via Twitter.
Hacxyk a partagé la brèche Near en raison de sa similitude technique avec celle de cette semaine Le piratage du portefeuille Solana. Dans le cas de Solana, un portefeuille mobile appelé Slope avait une vulnérabilité qui permettait aux attaquants potentiels d’accéder aux clés privées des utilisateurs.
En fin de compte, près de 6 millions de dollars de crypto-monnaie et de jetons ont été prélevés sur plus de 10 500 portefeuilles Solana uniques, selon les données mises à jour de l’explorateur blockchain. Solscan.
Near rapporte que son problème a été traité avant que tout dommage ne soit causé aux portefeuilles des utilisateurs. « À ce jour, nous n’avons trouvé aucun indicateur de compromis lié à la collecte accidentelle de ces données, et nous n’avons aucune raison de croire que ces données persistent quelque part », lit-on dans le message de Near.
Néanmoins, Near recommande à tous les utilisateurs qui ont précédemment activé l’option de récupération par e-mail ou SMS de faire pivoter les clés attachées à leur portefeuille, ainsi que de désactiver l’option de récupération. Near ne permet plus aux portefeuilles nouvellement créés d’utiliser l’option de récupération par e-mail ou SMS.
Hacxyk, quant à lui, recommande que toute personne ayant précédemment sélectionné l’option de récupération des e-mails transfère ses actifs vers un nouveau portefeuille, juste pour être en sécurité.
Le jeton NEAR a augmenté de près de 15 % au cours des dernières 24 heures à un prix actuel de 5,13 $ par jeton, selon CoinGecko. Le marché plus large de la cryptographie n’a augmenté que d’environ 2% au cours de cette période.