Falha de segurança
Shutterstock

A rede blockchain Near Protocol informou uma violação de segurança, descoberta em junho, que pode ter resultado no acesso a frases “seed” a carteiras de usuários por um serviço externo.

Uma frase seed (do inglês “seed phrase”) consiste em uma lista de palavras que armazenam todas as informações necessárias para recuperar fundos de criptomoedas em uma blockchain, que servem como uma senha de acesso a uma carteira cripto.

Publicidade

Na quinta-feira (4), Near compartilhou um artigo sobre a violação, que foi informada à equipe no dia 6 de junho pela empresa de segurança Hacxyk.

Na época, a plataforma permitiu que usuários definissem um endereço de e-mail ou número de celular como uma opção de recuperação para uma Near Wallet, permitindo que obtivessem acesso a uma carteira via e-mail ou SMS.

Porém, o sistema de recuperação possivelmente expôs as frases seed dos usuários no processo. De acordo com tuítes da Hacxyk, ao usar a opção de recuperação via e-mail, a frase seed seria vazada a um terceiro específico: a plataforma Mixpanel.

“Isso permite que qualquer um com acesso ao log da Mixpanel ou o dono da conta Mixpanel (como desenvolvedores do Near) teriam acesso a todos que clicaram no link no e-mail de recuperação”, tuitou Hacxyk. “Uma situação provável seria se a conta do dono da Mixpanel fosse comprometida.”

Publicidade

Near disse ter solucionado o problema no dia em que foi informado, deletando as informações vazadas e identificando quem poderia ter tido acesso a elas.

Recompensa

A Hacxyk também recebeu uma recompensa (ou “bug bounty”) por ter descoberto a falha. Porém, o incidente de segurança aparentemente não havia sido revelado ao público até que a Hacxyk o fez na quarta-feira (3) via Twitter.

A Hacxyk compartilhou a violação da Near por conta de sua similaridade técnica ao hack a carteiras do Solana desta semana. No caso do Solana, uma carteira móvel chamada Slope continha uma vulnerabilidade que permitiu que as chaves privadas de usuários fossem acessadas por possíveis hackers.

Quase US$ 6 milhões em criptomoedas e tokens foram roubados de mais de 10,5 mil carteiras únicas do Solana, de acordo com dados atualizados pelo explorador de blocos Solscan.

Publicidade

O Near informa que seu problema foi lidado antes que as carteiras de seus usuários fossem impactadas. “Até hoje, não encontramos indícios de comprometimentos relacionados à coleta acidental desses dados nem temos motivos para acreditar que esses dados existem em lugar algum”, afirma Near.

Ainda assim, o Near recomenda que qualquer usuário que tenha ativado a opção de recuperação via e-mail ou SMS alterne as chaves conectadas à sua carteira, além de desativarem a opção de recuperação. O Near não está mais permitindo que carteiras recém-criadas utilizem a opção de recuperação via e-mail ou SMS.

Já a Hacxyk recomenda que qualquer um que tenha anteriormente selecionado a opção de recuperação via e-mail transfira seus ativos para uma nova carteira — só para garantir.

O token NEAR subiu 15,6% nas últimas 24 horas e está precificado em US$ 5,10, segundo o site CoinGecko. O mercado de criptomoedas, como um todo, subiu apenas 2% no último dia.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

Esse é o melhor momento da história para investir em cripto!
E agora, você pode ter acesso a um curso exclusivo com os maiores especialistas em cripto para aprender os fundamentos e as técnicas que te ajudam a navegar nas altas e baixas do mercado. Inscreva-se aqui!

Publicidade
VOCÊ PODE GOSTAR
Pessoa inserindo chip no celular

Justiça manda TIM pagar R$ 21 mil a cliente que teve celular clonado e perda de criptomoedas

A partir da clonagem do celular, os invasores tiveram acesso ao email e posteriormente a uma carteira cripto na Binance
máquinas de mineração de criptomoedas apreenidas em

Polícia apreende 396 mineradoras de Bitcoin em casa de ex-deputado paraguaio

Miguel Cuevas, que já foi preso por enriquecimento ilícito, agora pode também ser investigado por furto de energia
Sunny Pires surfando

Surfista brasileiro recebe patrocínio em criptomoedas de comunidade web3

Sunny Pires, de 18 anos, embarca neste mês em expedição à Nicarágua com apoio da comunidade web3 Nouns
tornado cash 1

Desenvolvedor do Tornado Cash é condenado a 5 anos de prisão por lavagem de dinheiro

“O Tornado Cash, em sua natureza e funcionamento, é uma ferramenta destinada a criminosos”, disse um dos juízes ao condenar Alexey Pertsev