作者:石隆雅雯79 | 来源:互联网 | 2023-09-05 21:57
最近频频发生的钱包被盗事件凸显了常见的 Web3 分析工具在使用过程中容易引发安全问题,有鉴于此,NEAR 希望和大家分享一起类似的安全事件,并希望大家对此引起足够的重视。 2022 年 6
最近频频发生的钱包被盗事件凸显了常见的 Web3 分析工具在使用过程中容易引发安全问题,有鉴于此,NEAR 希望和大家分享一起类似的安全事件,并希望大家对此引起足够的重视。
2022 年 6 月,NEAR 钱包团队收到用户反馈的漏洞报告,报告显示用户的敏感信息被分享给了第三方,我们于收到报告当日便立即展开对这一问题的修复工作。
虽然团队意识到了这一威胁,并谨慎地对第三方服务收集的数据进行了清理,一则代码变更还是导致了部分使用电邮或 SMS 恢复钱包的用户的敏感数据被收集。幸运的是,@Hacxyk 在我们之前发现了这个问题,并于 6 月 6 日向我们的安全团队提交了这一发现。作为奖励,我们向其发放了一定数量的 bounty。钱包团队立即对漏洞进行了修复,清除了所有敏感数据,并指出了任何原本能够访问这些数据的人员。
截至目前,我们没有发现任何迹象表明这起意外数据收集事件引发的破坏。我们也没有理由相信这些数据存在任何地方。
尽管如此,我们将不再允许用户使用电邮或者 SMS 用于账户恢复。虽然没有证据表明这起事件带来任何后续破坏,我们还是强烈建议之前使用电邮或者 SMS 恢复选项的用户轮换自己的秘钥。用户可访问wallet.near.org,激活 Ledger 设备,或者激活密语(passphrase)安全选项。完成上述操作后,用户应关闭电邮或者 SMS 恢复选项。
随着开源钱包代码库迁移至 My NEAR Wallet,很多升级工作都处于筹备中。
钱包账户的安全对我们来说是至关重要的,用户选择和行为也会对钱包安全产生影响。我们建议用户考虑使用硬件设备,比如 ledger,来保证钱包安全,在创建和访问钱包时只使用获得信任的和安全的设备,以及不要对外透露您的恢复密语或私钥。