Hacxyk六月报告公链Near漏洞!但官方八月才承认漏洞存在

币圈子 閱讀 38184 2022-8-9 11:49
分享至
微信掃一掃,打開網頁後點擊屏幕右上角分享按鈕

Hacxyk六月报告公链Near漏洞!但官方八月才承认漏洞存在

安全机构Hacxyk早在6/6向Near Protocol官方报告潜在漏洞,虽然Near迅速处理了漏洞问题,但直到Hacxyk日前向推特社群披露此问题时,Near才公开承认漏洞的存在,承诺会发放漏洞赏金,并呼吁曾以Email/简讯来恢复私钥的用户需要更换私钥。

Near钱包漏洞

公链Solana发生Phantom与Slope两钱包遭黑事件,由于漏洞有潜在相似的可能性,安全机构Hacxyk选择在8/4于推特披露另一公链Near Protocol曾存在的类似问题,即当Near钱包用户选择以Email作为恢复助记词的方式时,助记词被泄露到第三方机构上。

Hacxyk强调这样的设计机制非常不安全,在此案例中,第三方即数据分析平台Mixpanel会接触到用户私钥,若Mixpanel遭黑,则曾选择以Email作为恢复助记词的Near钱包用户将面临极大风险。

Near团队已更新

MyNearWallet、Near官方皆在8/4当日回应此问题,表示已删除Email/简讯恢复私钥的选项,后者彻底清除了第三方服务搜集的数据,并且强烈建议过去曾经实际以Email/简讯来恢复私钥的用户,通过wallet.near.org更换其私钥,Near表示:我们没有发现意外收集到这些数据所导致的风险迹象,我们也没有理由相信这些数据仍会存在于任何地方。

Near的处理疑虑

实际上Hacxyk早在6/6就向Near报告此漏洞,而Near也当即处理了此问题,但直到Hacxyk于8/4向推特社群披露此问题时,Near才公开承认漏洞的存在,并承诺会发放漏洞赏金,也是在此时才呼吁曾以Email/简讯来恢复私钥的用户需要更换私钥。

而Hacxyk最初在回复社群是否有获得漏洞赏金时则表示:官方曾说会给予赏金,但距离上一次的回复已经是一个月之前了。

btcfans公众号

微信掃描關注公眾號,及時掌握新動向

免責聲明:
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
標籤: 公链 NEAR
上一篇:美国通过4300亿美元降低通膨法案 Fed官员: 九月至少加息50基点 下一篇:打击DeFi泡沫!DefiLlama关闭双重计数 全网TVL骤降220亿美元

相關資訊