安全机构六月提报漏洞,Near八月才认,呼吁相关用户更换私钥

fffmCQ.jpg

安全机构 Hacxyk 早在 6/6 向 Near Protocol 官方报告潜在漏洞,虽然 Near 迅速处理了漏洞问题,但直到 Hacxyk 日前向推特社群披露此问题时,Near 才公开承认漏洞的存在,承诺会发放漏洞赏金,并呼吁曾以 Email/简讯来恢复私钥的用户需要更换私钥。

Near 钱包漏洞

公链 Solana 发生 Phantom 与 Slope 两钱包遭骇事件,由于漏洞有潜在相似的可能性,安全机构 Hacxyk 选择在 8/4 于推特披露另一公链 Near Protocol 曾存在的类似问题,即当 Near 钱包用户选择以「Email」作为恢复助记词的方式时,助记词被泄露到第三方机构上。

Hacxyk 强调这样的设计机制非常不安全,在此案例中,第三方即数据分析平台 Mixpanel 会接触到用户私钥,若 Mixpanel 遭骇,则曾选择以「Email」作为恢复助记词的 Near 钱包用户将面临极大风险。

Near 团队已更新

MyNearWalletNear 官方皆在 8/4 当日回应此问题,表示已删除 Email/简讯恢复私钥的选项,后者彻底清除了第三方服务蒐集的数据,并且强烈建议过去曾经实际以 Email/简讯来恢复私钥的用户,透过 wallet.near.org 更换其私钥,Near 表示:

我们没有发现意外收集到这些数据所导致的风险迹象,我们也没有理由相信这些数据仍会存在于任何地方。

Near 的处理疑虑

实际上 Hacxyk 早在 6/6 就向 Near 报告此漏洞,而 Near 也当即处理了此问题,但直到 Hacxyk 于 8/4 向推特社群披露此问题时,Near 才公开承认漏洞的存在,并承诺会发放漏洞赏金,也是在此时才呼吁曾以 Email/简讯来恢复私钥的用户需要更换私钥。

而 Hacxyk 最初在回复社群是否有获得漏洞赏金时则表示

官方曾说会给予赏金,但距离上一次的回复已经是一个月之前了。

声明:该文观点仅代表作者本人,与炒币网无关。炒币网系信息发布平台,仅提供信息存储空间服务。对所包含内容的准确性、可靠性或者完整性不提供任何明示或暗示的保证,并不对文章观点负责。 提示:投资有风险,入市须谨慎。本资讯仅供参阅,不作为投资理财建议。

发表评论

登录后才能评论