Занимающиеся аудитом смарт-контрактов специалисты Hacxyk сообщили об уязвимости, которая могла привести к утечке сид-фраз пользователей кошелька NEAR Wallet.
Back in June, we found a bug in @NEARProtocol wallet that was almost the same as the recent Solana wallet hack. When a Near wallet user chooses "email" as the seed phrase recovery method, the seed phrase is leaked to a third party site. https://t.co/gHWhmxE3Sm pic.twitter.com/MK31xUeAeL— Hacxyk. (@Hacxyk) August 4, 2022
По данным экспертов, под угрозой могли оказаться владельцы кошельков, выбравшие электронную почту в качестве способа восстановления секретной фразы.
В Hacxyk отметили, что при подобном запросе сид-фразу отправляли непосредственно на почту пользователя, что уже ставит под угрозу ее безопасность, так как почтовые сервисы могут получить к ней доступ.
Специалисты обнаружили, что при переходе по ссылке данные пользователя отправлялись третьей стороне — сервису бизнес-аналитики Mixpanel. При этом сам запрос содержал сид-фразу.
Баг выявили в июне и его уже устранили. В Hacxyk порекомендовали всем пользователям кошельков NEAR Wallet, которые когда-либо выбирали электронную почту в качестве метода восстановления, перевести активы на новый кошелек и обновить сид-фразу.
5 августа 2022 | 10:13Апдейт:
Разработчики NEAR Protocol подтвердили информацию исследователей Hacxyk. Они отключили возможность восстановления доступа к NEAR Wallet через электронную почту или SMS.
To maintain the highest level of security, https://t.co/kC71fCMqbo no longer allows users to create accounts using email or sms for account recovery.— NEAR Protocol | NEARCON.org | Lisbon | Sept 11-14 (@NEARProtocol) August 4, 2022
Аналитики заявили, что обнаруженный баг очень похож на тот, который могли эксплуатировать при взломе кошельков на базе Solana.
Ранее команда Solana связала инцидент с провайдером кошельков Slope. Некоторые специалисты отметили, что Slope мог хранить сид-фразы пользователей на своих централизованных серверах, которые впоследствии скомпрометировали злоумышленники.
Позже занимающаяся расследованием инцидента фирма OtterSec подтвердила, что мобильное приложение Slope отправляло сид-фразы на централизованный сервер Sentry, где они хранились в незашифрованном виде.
We have independently confirmed that Slope’s mobile app sends off mnemonics via TLS to their centralized Sentry server. These mnemonics are then stored in plaintext, meaning anybody with access to Sentry could access user private keys. pic.twitter.com/PkCFTeQgOP— OtterSec (@osec_io) August 4, 2022
На сервере содержались данные приблизительно 1400 адресов, затронутых эксплойтом. При этом более 5300 приватных ключей, обнаруженных на Sentry, пока не пострадали. На большей части этих адресов содержатся токены. Специалисты настоятельно рекомендовали переместить средства.
В SlowMist отметили, что команда кошелька Phantom также использовала Sentry. Однако аналитики пока не обнаружили доказательств, что на сервере хранились секретные фразы пользователей приложения.
Исследователи подтвердили, что кошельки imToken и Sender не пострадали от утечки Sentry.
Our investigation concluded that @imTokenOfficial was not effected in the recent data leak involving Sentry. @SenderWallet & @Coin98 wallets were not effected as well since they don't utilize Sentry services.Specific versions for Android, iOS & Chrome extension can be shown👇 pic.twitter.com/roGMW0rw9D— SlowMist (@SlowMist_Team) August 4, 2022
Напомним, в ходе атаки хакеры вывели миллионы долларов с около 8000 кошельков на базе Solana.
О том, что такое сид-фраза и в чем отличие кастодиадьных и некастодиальных кошельков, читайте в карточках ForkLog.
