Foto: dencg/Shutterstock
Opnieuw blijkt een crypto wallet zeer gevoelige informatie te hebben gelekt naar een derde partij. Dit keer gaat het om de core wallet van NEAR Protocol. Gebruikers van deze wallet die de recovery van hun wallet hebben ingesteld met e-mail of SMS lopen het risico hun tegoeden kwijt te raken, al stelt NEAR zelf dat er vooralsnog geen schade is geleden.
NEAR herstelt kwetsbaarheid in crypto wallet meteen
Dat er vooralsnog geen grote schade geleden lijkt te zijn heeft waarschijnlijk te maken met het feit dat het team de kwetsbaarheid vlak na ontdekking meteen heeft opgelost. Dit voorval vond overigens al in juni van dit jaar plaats, maar werd gisteren alsnog met de wereld gedeeld na het Slope wallet debacle waarbij miljoenen in solana (SOL) en andere tokens verloren gingen.
De kwetsbaarheid werd ontdekt door Hacxyk, een auditor die de code van NEAR onder de loep heeft genomen. Voor het ontdekken van de fout kreeg het bedrijf een bounty, of beloning, van $50.000.
Door een fout in de code van de NEAR wallet werd “gevoelige data” gedeeld met een derde partij. Dat was in dit geval het analytics platform Mixpanel. Alhoewel NEAR zelf niet echt duidelijk benoemt om welke gevoelige informatie het gaat, laat het Hacxyk aan The Block weten dat het toch echt wel een serieus probleem had kunnen vormen:
“We geloven dat de aard erg lijkt op de recente Slope-wallet-hack op Solana. Kortom, de seed-frases werden onbewust gelekt naar de externe partij Mixpanel, een analyseservice, toen gebruikers e-mail/sms kozen als de methode voor het herstellen van de seed-frase. Dit betekent dat de seed-frases van gebruikers werden opgeslagen op de Mixpanel-server,”
NEAR kwetsbaarheid had erger af kunnen lopen
Volgens het team is er dus geen crypto verloren gegaan. Met de seed phrase zou een kwaadwillende toegang kunnen krijgen tot de wallet van een slachtoffer. Dit gebeurde wel in het geval van Slope wallet.
Inmiddels staat NEAR gebruikers niet meer toe om SMS of e-mail in te stellen als recovery optie. Desalniettemin waarschuwt het team gebruikers die die optie wel aan hadden staan hun keys te vernieuwen. Hoe dat moet lees je in de officiële aankondiging van NEAR.