Layer 1 Blockchain’i NEAR Protocol, temel cüzdan hizmetinde kurtarma seçeneği olarak SMS ve e-posta kullanan kullanıcıların verilerinin Haziran ayında üçüncü tarafların eline geçtiğini duyurdu. NEAR, yaptığı duyuruda, herhangi bir problem yaşanmadan sorunun çözüldüğünü belirtti.
Fonlar Güvende mi?
NEAR Protocol’ün wallet.near.org adresindeki temel cüzdan hizmeti, kullanıcıların kripto para cüzdanı hesaplarına e-posta verileri veya telefon numaraları dahil kurtarma seçenekleri eklemesine imkan tanıyor. Sistemdeki bir hata, hassas kullanıcı bilgilerin yanlışlıkla üçüncü tarafların eline geçmesine neden oldu.
NEAR, üçüncü taraflardan veya kendi çalışanlarından gelen verilere erişimi sonlandırarak durumun hızlı bir şekilde çözüldüğünü ve veri sızıntısının fonların güvenliği veya kullanıcıların gizliliğine yönelik herhangi bir tehdit oluşturmadığını belirtti. Yapılan açıklamada, “Cüzdan ekibi durumu hemen düzeltti, tüm hassas verileri temizledi.” denildi.
Hata, 6 Haziran’da yaptığı güvenlik sorunundan dolayı ödüllendirilen Hackxyk adlı beyaz şapkalı bir hack grubu tarafından bildirildi. NEAR Protocol ekibi şu ana kadar sorunla ilgili herhangi bir açıklamada bulunmamıştı. Hacker grubu, The Block’a konuştu ve üçüncü tarafın bir analitik hizmeti platformu olan Mixpanel olduğunu belirtti. Hatayı, verilerin yanlışlıkla merkezi bir sunucuya iletilmesiyle 8 binden fazla cüzdanın hack’lendiği Slope Wallet’ın sorunuyla karşılaştıran Hackxyk, cüzdanların özel anahtarların da ele geçirilmiş olabileceğini iddia ederek şunları söyledi:
Hatanın, Solana’daki son Slope Wallet hack’ine çok benzediğine inanıyoruz. Kısacası, tohum anahtar kelimelerini kurtarma yöntemi olarak e-posta/sms yöntemini seçen kullanıcıların verileri analitik hizmeti olan üçüncü taraf Mixpanel’e sızdırıldı. Bu, kullanıcıların tohum anahtar kelimelerini Mixpanel’in merkezi sunucusunda saklandığı anlamına geliyor.
Tüm Önlemler Alındı
NEAR Protocol, bir güvenlik önlemi olarak kullanıcıların hesap kurtarma için e-posta veya SMS kullanarak hesap oluşturmalarına artık izin vermiyor. Ayrıca, NEAR cüzdanında daha önce e-posta veya SMS kurtarma seçeneklerini kullanan kullanıcıların yeni tohum anahtar kelimelerini oluşturmaları veya Ledger gibi bir donanım cüzdanı kullanmaları tavsiye edildi.
Hackxyk’e göre, NEAR cüzdanları için cüzdan hesap modeli Ethereum’dan biraz farklı. Bir kripto para hesabının farklı izinlere sahip birden fazla anahtar seti olabiliyor. NEAR, özel anahtarları sıfırlayarak, kullanıcılara potansiyel olarak sızdırılan tohum anahtar kelimelerini iptal etmelerini ve bunları değiştirerek yenilerini kullanmalarını tavsiye ediyor.