پس از ماجرای هک آدرس خصوصی کیف پولهای اسلوپ در سولانا، شبکه Near درباره یک ضعف امنیتی مشابه در کیف پولهای خود، که پیش از وقوع حادثه برطرف شد، جزییاتی را به اشتراک گذاشت.
به گزارش میهن بلاکچین و به نقل از دیکریپت، بلاکچین لایه یک نیر (Near) درباره یک ضعف امنیتی که در ماه ژوئن (خرداد) کشف شد کشف و برطرف شد، جزییاتی را افشا کرد. این ضعف امنیتی به یک سرویس شخص ثالث امکان دسترسی به عبارات بازیابی کیف پول کاربران میداد و بهطور بالقوه میتوانست به حادثهای مشابه با حادثه هک کیف پولهای اسلوپ در شبکه سولانا منجر شود.
پروتکل Near پنجشنبه در پست وبلاگ خود، اعلام کرد در تاریخ ۶ ژوئن (۱۶ خرداد) شرکت امنیتی هکزیک (Hacxyk) این نقص امنیتی را به تیم نیر گزارش داد. در آن زمان، این پلتفرم به کاربران اجازه میداد یک آدرس ایمیل یا شماره تلفن را به عنوان گزینه بازیابی برای Near Wallet تنظیم کنند و از طریق ایمیل یا پیامک به کیف پول خود دسترسی پیدا کنند.
با این حال، سیستم بازیابی امکان داشت عبارات بازیابی کاربران را افشا کند. مطابق رشته توییتی از Hacxyk، استفاده از گزینه «بازیابی از طریق ایمیل»، باعث میشد عبارت اولیه کاربر به یک پلتفرم شخص ثالث خاص، به نام پلتفرم Mixpanel، درز پیدا کند. هکزیک در توییت خود نوشت:
این ضعف امنیتی باعث میشد هر کسی که Mixpanel دسترسی داشته باشد یا مالک حساب Mixpanel (به عنوان مثال توسعهدهندگان Near)، به عبارت بازایابی تمام کیف پولهایی که صاحبان آنها رو لینک بازیابی در ایمیل کلیک کردهاند، دسترسی داشته باشند. یک سناریوی محتمل برای لو رفتن این عبارات بازیابی هک اطلاعات مالک حساب Mixpanel بود.
تیم Near اعلام کرد که این مشکل را در همان روزی که گزارش شد حل کرد و اطلاعات فاششده را حذف کرد و شناسایی کرد که چه کسی ممکن است به آن دسترسی داشته باشد. همچنین Hacxyk همچنین برای کشف این نقص، جایزه کشف باگ دریافت کرد. با این حال، این حادثه امنیتی ظاهرا برای عموم فاش نشده بود تا اینکه Hacxyk در روز چهارشنبه از طریق توییتر این موضوع را عمومی کرد.
علت اقدام Hacxyk شباهت فنی آن ضعف امنیتی با ضعفی بود که به هک کیف پولهای سولانا منجر شد. در مورد سولانا، کیف پول موبایلی اسلوپ Slope دچار نوعی مشابه از آسیبپذیری بود که به مهاجمان بالقوه امکان دسترسی به کلیدهای خصوصی کاربران را میداد.
بر اساس دادههای مرورگر بلاکچین Solscan، در نهایت، نزدیک به ۶ میلیون دلار رمزارز و آدرس بیش از ۱۰٬۵۰۰ کیف پول منحصربهفرد Solana هک شد.
تیم Near با وجود اقدامات پیشگیرانه به کاربران Near Wallet توصیه میکند در صورتیکه قبلا از گزینه بازیابی از طریق ایمیل یا پیامک استفاده کردهاند، دارایی خود را به یک کیف پول جدید منتقل کنند. گزینه بازیابی از طریق ایمیل یا پیامک از نسخه جدید کیف پولها Near حذف شده است.
مطابق دادههای میهن بلاکچین قیمت رمزارز NEAR در ۲۴ ساعت گذشته حدود ۱۰٪ افزایش یافته است و به ۵.۰۳ دلار رسیده است در حالیکه کلیت بازار ارزهای دیجیتال در مدت مشابه تنها حدود ۲٪ رشد داشته است.
- اقدامات امنیتی لازم برای کاربران کیف پول نیر (Near Wallet) چیست؟
تیم Near و Hacxyk به کاربران Near Wallet توصیه کردهاند در صورتیکه قبلا از گزینه بازیابی از طریق ایمیل یا پیامک استفاده کردهاند، دارایی خود را به یک کیف پول جدید منتقل کنند.