La red de blockchain Near Protocol ha revelado una brecha de seguridad que se descubrió en junio, que podría haber dado lugar a que un servicio de terceros obtuviera acceso a las frases de semillas para las wallets de sus usuarios.
Near compartió una publicación en su blog el jueves sobre la brecha, que fue reportada al equipo el 6 de junio por la firma de seguridad Hacxyk. En ese momento, la plataforma permitía a los usuarios establecer una dirección de correo electrónico o un número de teléfono como opción de recuperación de un monedero Near, lo que les permitía recuperar el acceso a un monedero a través de un correo electrónico o un SMS.
Sin embargo, el sistema de recuperación exponía potencialmente las frases semilla de los usuarios -las claves privadas utilizadas para recuperar el acceso a una criptomoneda- en el proceso. Según un tuit de Hacxyk, el uso de la opción de recuperación por correo electrónico filtraría la frase semilla a un tercero específico, la plataforma de análisis Mixpanel.
Back in June, we found a bug in @NEARProtocol wallet that was almost the same as the recent Solana wallet hack. When a Near wallet user chooses "email" as the seed phrase recovery method, the seed phrase is leaked to a third party site. https://t.co/gHWhmxE3Sm pic.twitter.com/MK31xUeAeL
— Hacxyk. (@Hacxyk) August 4, 2022
"Esto permite que cualquier persona con acceso al registro de acceso de Mixpanel, o el propietario de la cuenta de Mixpanel (por ejemplo, desarrolladores de Near) tenga acceso a todos los que han hecho clic en el enlace del correo electrónico de recuperación", tuiteó Hacxyk. "Un escenario probable sería [que] la cuenta del propietario de Mixpanel se viera comprometida".
Near dijo que resolvió el problema el día en que se informó, borró la información filtrada e identificó quién podría haber tenido acceso a ella. Hacxyk también recibió una recompensa por descubrir la brecha. Sin embargo, parece que el incidente de seguridad no había sido revelado al público hasta que Hacxyk lo hizo el miércoles a través de Twitter.
Hacxyk compartió la brecha de Near por su similitud técnica con el hack de las wallets de Solana de esta semana. En el caso de Solana, un monedero móvil llamado Slope tenía una vulnerabilidad que permitía a los atacantes potenciales acceder a las claves privadas de los usuarios.
Al final, se robaron casi 6 millones de dólares en criptomonedas y tokens de más de 10.500 carteras únicas de Solana, según datos actualizados del explorador de blockchain Solscan.
Near informa que su problema fue manejado antes de que se produjeran daños en las billeteras de los usuarios. "Hasta la fecha, no hemos encontrado indicadores de compromiso relacionados con la recopilación accidental de estos datos, ni tenemos razones para creer que estos datos persisten en cualquier lugar", dice el post de Near.
Aun así, Near recomienda que cualquier usuario que haya activado previamente la opción de recuperación por correo electrónico o SMS rote las claves adjuntas a su cartera, así como que desactive la opción de recuperación. Near ya no permite que los monederos recién creados utilicen la opción de recuperación por correo electrónico o SMS.
Hacxyk, por su parte, recomienda a todos los que hayan seleccionado la opción de recuperación por correo electrónico que transfieran sus activos a un nuevo monedero, para estar seguros.
El token NEAR ha subido casi un 15% en las últimas 24 horas a un precio actual de 5,13 dólares por token, según CoinGecko. El mercado de criptomonedas en general sólo ha subido un 2% durante ese período.