Layer 1 (katman 1) blok zinciri olan NEAR Protocol’un, büyük bir veri ihlali ettiği ortaya çıktı. Şirket ise veri ihlali olmadan tüm hataların düzeltildiğini bildirdi.
NEAR Protocol’ün wallet.near.org adresindeki cüzdan teklifi, müşterilerin kripto para cüzdan hesaplarına e-posta ya da telefon numaraları da dahil olmak üzere kurtarma seçenekleri için kişisel bilgilerini eklemesine olanak sağlıyor. Ancak yapılan bir hata sonrasında buradaki hassas verilerin yanlışlıkla üçüncü tarafa ifşa ettiği belirtildi. Ancak NEAR, hatanın düzeltilmesi için üçüncü tarafların ve kendi çalışanlarında dahil olmak üzere tüm bilgilere erişimin engellenerek sorunun çözüldüğünü belirtti. Şirket bu yöntemle ihlalin fon güvenliği ya da müşterilerin gizliliğine yönelik tehdit oluşturmasını hızlı bir şekilde engellediklerini açıkladı. Konu hakkında açıklama yapan şirket şunları söyledi:
“Durumu düzeltmek için ekibimiz çok hızlı çalıştı ve hassas verilere erişebilecek personeller belirlendi.”
Veri İhlali Hatası Haziran Ayında Oldu
Platformun sistemindeki sorunla alakalı hata 6 Haziran 2022 tarihinde belirlendiği ortaya çıktı. Hackxyk adlı bir web3 güvenlik denetim firması buldukları hatayı raporladıkları için platformdan 50.000 dolar değerinde ödül aldığını açıkladı.
NEAR Protocol ekibi ise 2022 Haziran ayında gerçekleşen olayı kamuoyu ile paylaşmadı.
Hackxyk’in hazırladığı raporda bahsi geçen üçüncü tarafın bir analitik veri hizmeti olan Mixpanel olduğu belirtildi. Verilerin yanlışlıkla merkezi bir sunucuya iletildiğini ve son zamanlarda gündem olan Slope Wallet sorununda olduğu gibi özel anahtarların da ele geçirilmiş olabileceği de belirtildi.
Hackxyk yaptığı açıklamada şunları söyledi:
“Bunun, Solana’daki son Slope Wallet hackine çok benzediğine inanıyoruz. Kısacası, müşteriler tohum sözcük (seed phrase) kurtarma yöntemi olarak e-posta ve SMS’i seçtiğinde, tohum sözcükler yanlışlıkla analitik hizmet şirketi olan üçüncü taraf Mixpanel’e sızdırıldı. Bu, kullanıcıların tohum sözcüklerinin Mixpanel’in sunucusunda depolandığı anlamına geliyor.”
Hackxyk ayrıca açıklamasında NEAR Protocol’deki cüzdanların hesap modellerin biraz farklı olduğunu ve bir hesabın farklı izinlere sahip birden fazla anahtar seti olabildiğini vurguladı.
NEAR Protocol ise bu açıklamalardan sonra kullanıcılarına, özel anahtarları değiştirerek, kullanıcılara potansiyel olarak sızdırılmış anahtar setlerini iptal etmelerini ve bunları değiştirmek için yenilerini eklemelerini söyledi.