安全机构Hacxyk 早在6/6 向Near Protocol 官方报告潜在漏洞，虽然Near 迅速处理了漏洞问题，但直到Hacxyk 日前向推特社群披露此问题时，Near 才公开承认漏洞的存在，承诺会发放漏洞赏金，并呼吁曾以Email/简讯来恢复私钥的用户需要更换私钥。

Near 钱包漏洞

公链Solana 发生Phantom 与Slope 两钱包遭黑事件，由于漏洞有潜在相似的可能性，安全机构Hacxyk 选择在8/4 于推特披露另一公链Near Protocol 曾存在的类似问题，即当Near 钱包用户选择以「Email」作为恢复助记词的方式时，助记词被泄露到第三方机构上。

Hacxyk 强调这样的设计机制非常不安全，在此案例中，第三方即数据分析平台Mixpanel 会接触到用户私钥，若Mixpanel 遭黑，则曾选择以「Email」作为恢复助记词的Near 钱包用户将面临极大风险。

Near 团队已更新

MyNearWallet、Near官方皆在8/4 当日回应此问题，表示已删除Email/简讯恢复私钥的选项，后者彻底清除了第三方服务搜集的数据，并且强烈建议过去曾经实际以Email/简讯来恢复私钥的用户，透过wallet.near.org更换其私钥，Near 表示：

我们没有发现意外收集到这些数据所导致的风险迹象，我们也没有理由相信这些数据仍会存在于任何地方。

Near 的处理疑虑

实际上Hacxyk 早在6/6 就向Near 报告此漏洞，而Near 也当即处理了此问题，但直到Hacxyk 于8/4 向推特社群披露此问题时，Near 才公开承认漏洞的存在，并承诺会发放漏洞赏金，也是在此时才呼吁曾以Email/简讯来恢复私钥的用户需要更换私钥。

而Hacxyk 最初在回覆社群是否有获得漏洞赏金时则表示：官方曾说会给予赏金，但距离上一次的回覆已经是一个月之前了。

本文链接地址：https://www.wwsww.cn/hqfx/12995.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。