NEAR钱包安全更新

最近频频发生的钱包被盗事件凸显了常见的 Web3 分析工具在使用过程中容易引发安全问题，有鉴于此，NEAR 希望和大家分享一起类似的安全事件，并希望大家对此引起足够的重视。

2022 年 6 月，NEAR 钱包团队收到用户反馈的漏洞报告，报告显示用户的敏感信息被分享给了第三方，我们于收到报告当日便立即展开对这一问题的修复工作。

虽然团队意识到了这一威胁，并谨慎地对第三方服务收集的数据进行了清理，一则代码变更还是导致了部分使用电邮或 SMS 恢复钱包的用户的敏感数据被收集。幸运的是，@Hacxyk 在我们之前发现了这个问题，并于 6 月 6 日向我们的安全团队提交了这一发现。作为奖励，我们向其发放了一定数量的 bounty。钱包团队立即对漏洞进行了修复，清除了所有敏感数据，并指出了任何原本能够访问这些数据的人员。

截至目前，我们没有发现任何迹象表明这起意外数据收集事件引发的破坏。我们也没有理由相信这些数据存在任何地方。

尽管如此，我们将不再允许用户使用电邮或者 SMS 用于账户恢复。虽然没有证据表明这起事件带来任何后续破坏，我们还是强烈建议之前使用电邮或者 SMS 恢复选项的用户轮换自己的秘钥。用户可访问wallet.near.org，激活 Ledger 设备，或者激活密语（passphrase）安全选项。完成上述操作后，用户应关闭电邮或者 SMS 恢复选项。

随着开源钱包代码库迁移至 My NEAR Wallet，很多升级工作都处于筹备中。

钱包账户的安全对我们来说是至关重要的，用户选择和行为也会对钱包安全产生影响。我们建议用户考虑使用硬件设备，比如 ledger，来保证钱包安全，在创建和访问钱包时只使用获得信任的和安全的设备，以及不要对外透露您的恢复密语或私钥。