安全機構六月提報漏洞,Near八月才認,呼籲相關用戶更換私鑰

Jim
分享
安全機構六月提報漏洞,Near八月才認,呼籲相關用戶更換私鑰

安全機構 Hacxyk 早在 6/6 向 Near Protocol 官方報告潛在漏洞,雖然 Near 迅速處理了漏洞問題,但直到 Hacxyk 日前向推特社群披露此問題時,Near 才公開承認漏洞的存在,承諾會發放漏洞賞金,並呼籲曾以 Email/簡訊來恢復私鑰的用戶需要更換私鑰。

Near 錢包漏洞

公鏈 Solana 發生 Phantom 與 Slope 兩錢包遭駭事件,由於漏洞有潛在相似的可能性,安全機構 Hacxyk 選擇在 8/4 於推特披露另一公鏈 Near Protocol 曾存在的類似問題,即當 Near 錢包用戶選擇以「Email」作為恢復助記詞的方式時,助記詞被洩露到第三方機構上。

Hacxyk 強調這樣的設計機制非常不安全,在此案例中,第三方即數據分析平台 Mixpanel 會接觸到用戶私鑰,若 Mixpanel 遭駭,則曾選擇以「Email」作為恢復助記詞的 Near 錢包用戶將面臨極大風險。

廣告 - 內文未完請往下捲動

Near 團隊已更新

MyNearWalletNear 官方皆在 8/4 當日回應此問題,表示已刪除 Email/簡訊恢復私鑰的選項,後者徹底清除了第三方服務蒐集的數據,並且強烈建議過去曾經實際以 Email/簡訊來恢復私鑰的用戶,透過 wallet.near.org 更換其私鑰,Near 表示:

我們沒有發現意外收集到這些數據所導致的風險跡象,我們也沒有理由相信這些數據仍會存在於任何地方。

Near 的處理疑慮

實際上 Hacxyk 早在 6/6 就向 Near 報告此漏洞,而 Near 也當即處理了此問題,但直到 Hacxyk 於 8/4 向推特社群披露此問題時,Near 才公開承認漏洞的存在,並承諾會發放漏洞賞金,也是在此時才呼籲曾以 Email/簡訊來恢復私鑰的用戶需要更換私鑰。

而 Hacxyk 最初在回覆社群是否有獲得漏洞賞金時則表示

官方曾說會給予賞金,但距離上一次的回覆已經是一個月之前了。