NEAR Protocol: Datenpanne aufgedeckt
NEAR Protocol verzeichnete im Juni 2022 eine Datenpanne. Das Unternehmen gab an, dass die durchgesickerten Daten keine persönlich identifizierbaren Informationen enthielten.
Geleakte Daten bei NEAR
NEAR Protocol schrieb in seinem offiziellen Blog, dass SMS- und E-Mail-Daten, die als Wiederherstellungsoptionen in der Wallet verwendet werden, an Dritte weitergegeben wurden. Das Problem konnte jedoch behoben werden, bevor ein Schaden entstand.
Das Team von NEAR hat einen Fehler entdeckt, durch den versehentlich Nutzerdaten offengelegt wurden. Der Fehler ermöglichte es Dritten, auf Informationen wie E-Mail-Adressen und Telefonnummern zuzugreifen.
As part of ongoing discussion around the changes to https://t.co/h8J7uvV1SH and recent news stories concerning vulnerabilities on other wallet platforms this week, @NEARFoundation has created a thread discussing the state of security around NEAR’s web wallet.
🧵 👇
— NEAR Protocol | NEARCON.org | Lisbon | Sept 11-14 (@NEARProtocol) August 4, 2022
Problem wurde schnell gelöst
NEAR Protocol war in der Lage, die Situation schnell zu bereinigen und sicherzustellen, dass die dritte Partei und ihre Mitarbeiter keinen Zugang zu den Informationen hatten.
Infolgedessen stellte der Verstoß insgesamt nur eine geringe Bedrohung für die Sicherheit der Gelder oder die Privatsphäre der Nutzer dar.
Das Team sagte dazu Folgendes:
Das Wallet-Team sorgte sofort für Abhilfe, säuberte alle sensiblen Daten und identifizierte alle Mitarbeiter, die Zugriff auf diese Daten gehabt haben könnten.
Das NEAR-Protokoll-Team hat erklärt, dass der Fehler am 6. Juni von einem gutgesinnten Hacking-Team namens Hacxyk gemeldet wurde, welches eine Belohnung in Höhe von 50.000 US-Dollar für die Aufdeckung der Schwachstelle erhielt. Dennoch hatte das NEAR-Protokoll-Team die Informationen bis jetzt nicht weitergegeben.
Mixpanel ebenfalls beteiligt
Bei dem im Vorfallsbericht genannten Drittanbieter handelt es sich um Mixpanel, ein Analyseunternehmen. Hacxyk sagte, dass die Daten an einen zentralen Server gesendet wurden, was darauf hindeutet, dass die Benutzerschlüssel möglicherweise kompromittiert wurden. Auch ein Vergleich zum kürzlich geschehenen Slope-Wallet-Hack auf Solana wurde gezogen.
Wir glauben, dass es sich um einen ähnlichen Fall handelt wie den jüngsten Slope-Wallet-Hack auf Solana. Kurz gesagt, die Seed-Phrasen wurden unwissentlich an den Drittanbieter Mixpanel, einen Analysedienst, weitergegeben, als die Nutzer E-Mail/SMS als Methode zur Wiederherstellung der Seed-Phrase wählten. Das bedeutet, dass die Seed-Phrasen der Nutzer auf dem Server von Mixpanel gespeichert werden.
Passwörter immer wieder ändern
Als Sicherheitsmaßnahme riet das NEAR-Cash-Protokoll Nutzern, die zuvor E-Mail- oder SMS-Wiederherstellungsoptionen mit ihrer NEAR-Wallet verwendet hatten, ihre Schlüssel zu „rotieren“ oder eine Hardware-Wallet wie Ledger hinzuzufügen.
Es sagte, dass es Nutzern nicht mehr erlauben würde, Konten per E-Mail oder SMS für die Kontowiederherstellung zu erstellen.
Das NEAR-Wallet-Kontomodell unterscheidet sich von Ethereum. Ein Kryptowährungskonto kann mehrere Schlüsselsätze mit unterschiedlichen Berechtigungen haben. Durch die Rotation der privaten Schlüssel fordert NEAR die Benutzer auf, potenziell durchgesickerte Schlüsselsätze zu widerrufen und neue hinzuzufügen, um sie zu ersetzen.
Back in June, we found a bug in @NEARProtocol wallet that was almost the same as the recent Solana wallet hack. When a Near wallet user chooses "email" as the seed phrase recovery method, the seed phrase is leaked to a third party site. https://t.co/gHWhmxE3Sm pic.twitter.com/MK31xUeAeL
— Hacxyk. (@Hacxyk) August 4, 2022
