Falha na segurança em protocolo pode ter vazado chaves privadas de carteiras

Home » Falha na segurança em protocolo pode ter vazado chaves privadas de carteiras
A rede blockchain Close to Protocol informou uma violação de segurança , descoberta em junho, que pode ter resultado no acesso a frases “seed” a carteiras de usuários por um serviço externo.

Uma frase seed (do inglês “seed phrase”) consiste em uma lista de palavras que armazenam todas as informações necessárias para recuperar fundos de criptomoedas em uma blockchain, que servem como uma senha de acesso a uma carteira cripto.

Na quinta-feira (4), Close to compartilhou um artigo sobre a violação, que foi informada à equipe no dia 6 de junho pela empresa de segurança Hacxyk.

Na época, a plataforma permitiu que usuários definissem um endereço de e-mail ou número de celular como uma opção de recuperação para uma Close to Pockets, permitindo que obtivessem acesso a uma carteira through e-mail ou SMS.

Porém, o sistema de recuperação possivelmente expôs as frases seed dos usuários no processo. De acordo com tuítes da Hacxyk, ao usar a opção de recuperação through e-mail, a frase seed seria vazada a um terceiro específico: a plataforma Mixpanel .

Again in June, we discovered a bug in @NEARProtocol pockets that was virtually the identical because the current Solana pockets hack. When a Close to pockets person chooses “electronic mail” because the seed phrase restoration technique, the seed phrase is leaked to a 3rd celebration web site. https://t.co/gHWhmxE3Sm pic.twitter.com/MK31xUeAeL — Hacxyk. (@Hacxyk) August 4, 2022

“Isso permite que qualquer um com acesso ao log da Mixpanel ou o dono da conta Mixpanel (como desenvolvedores do Close to) teriam acesso a todos que clicaram no hyperlink no e-mail de recuperação”, tuitou Hacxyk. “Uma situação provável seria se a conta do dono da Mixpanel fosse comprometida.”

Close to disse ter solucionado o problema no dia em que foi informado, deletando as informações vazadas e identificando quem poderia ter tido acesso a elas.

Recompensa

A Hacxyk também recebeu uma recompensa (ou “bug bounty”) por ter descoberto a falha. Porém, o incidente de segurança aparentemente não havia sido revelado ao público até que a Hacxyk o fez na quarta-feira (3) through Twitter.

A Hacxyk compartilhou a violação da Close to por conta de sua similaridade técnica ao hack a carteiras do Solana desta semana. No caso do Solana, uma carteira móvel chamada Slope continha uma vulnerabilidade que permitiu que as chaves privadas de usuários fossem acessadas por possíveis hackers.

Quase US$ 6 milhões em criptomoedas e tokens foram roubados de mais de 10,5 mil carteiras únicas do Solana, de acordo com dados atualizados pelo explorador de blocos Solscan.

O Close to informa que seu problema foi lidado antes que as carteiras de seus usuários fossem impactadas. “Até hoje, não encontramos indícios de comprometimentos relacionados à coleta acidental desses dados nem temos motivos para acreditar que esses dados existem em lugar algum”, afirma Close to.

Ainda assim, o Close to recomenda que qualquer usuário que tenha ativado a opção de recuperação through e-mail ou SMS alterne as chaves conectadas à sua carteira, além de desativarem a opção de recuperação. O Close to não está mais permitindo que carteiras recém-criadas utilizem a opção de recuperação through e-mail ou SMS.

Já a Hacxyk recomenda que qualquer um que tenha anteriormente selecionado a opção de recuperação through e-mail transfira seus ativos para uma nova carteira — só para garantir.

O token NEAR subiu 15,6% nas últimas 24 horas e está precificado em US$ 5,10, segundo o web site CoinGecko . O mercado de criptomoedas, como um todo , subiu apenas 2% no último dia.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co .

Esse é o melhor momento da história para investir em cripto! E agora, você pode ter acesso a um curso exclusivo com os maiores especialistas em cripto para aprender os fundamentos e as técnicas que te ajudam a navegar nas altas e baixas do mercado.  Inscreva-se aqui!
O submit Falha na segurança em protocolo pode ter vazado chaves privadas de carteiras apareceu primeiro em Portal do Bitcoin .

Leave a Reply

Your email address will not be published.