כן, פורצים גם אפליקציות Web3
פריצות אחרונות לארנקים מבוססי Near Protocol או Solana מעלות את הדיון סביב היכולת לאבטח ארנקי קריפטו וארנקים חמים באופן פרטני
עמי רוחקס דומבה
| 08/08/2022
רשת הבלוקצ'יין Near Protocol חשפה פרצת אבטחה שהתגלתה ביוני, שיכולה הייתה לגרום לשירות צד שלישי לקבל גישה למפתחות הפרטיים (seed phrases) של ארנקי המשתמש. זאת, באמצעות התערבות התוקף במנגנון שחזור המפתח בדוא״ל או SMS.
Near שיתפה ביום חמישי האחרון פוסט בבלוג אודות הפרצה, שדווחה ב-6 ביוני על ידי חברת האבטחה Hacxyk. בזמנו, הפלטפורמה אפשרה למשתמשים להגדיר כתובת אימייל או מספר טלפון כאפשרות שחזור עבור Near Wallet, מה שמאפשר להם לקבל בחזרה גישה לארנק באמצעות דואר אלקטרוני או SMS.
״ב-6 ביוני 2022, צוות ארנק NEAR קיבל דוח המצביע על כך שמידע רגיש שותף עם צד שלישי. הבעיה תוקנה מיד באותו היום״, נכתב בבלוג החברה. ״בעוד הצוות היה מודע לאיום הזה, שינוי קוד בכל זאת הביא לאיסוף נתונים רגישים עבור חלק מהמשתמשים שהשתמשו בשחזור דוא"ל או SMS בארנקים שלהם.
״למרבה המזל, @Hacxyk תפס את זה לפנינו והגיש את הממצא לצוות האבטחה שלנו ב-6 ביוני (שעבורו זכו בפרס). צוות הארנק תיקן מיד את המצב. עד כה, לא מצאנו אינדיקטורים לפריצה הקשורים לאיסוף בשוגג של נתונים אלה, ואין לנו סיבה להאמין שהנתונים האלה הודלפו.״
בעקבות התקרית, בחברה לא מאפשרים למשתמשים שחזור חשבונות באמצעות דואר אלקטרוני או SMS וממליצים להחליף מפתחות דרך אתר החברה.
בעקבות הפרסום של Hacxyk , עלו תהיות מצד גולשים, כיצד ייתכן ותעבורה מוצפנת ב-SSL חושפת נתונים ב-plain text. עלתה השערה כי אולי מדובר באיום פנימי ששינה את הקוד וביטול ההצפנה (על מנת לראות נתונים מוצפנים ב-SSL, על התוקף לפתוח את ההצפנה באמצע הדרך. פעולה שאינה טריוויאלית.)
התקרית ב-Near Protocol מגיעה על רקע אירוע נוסף בעולם הקריפטו. הפעם, ארנקים מבוססי Solana ecosystem נפרצו בדרך כלשהי. על פי דיווחים ברשת, מדובר בלפחות 8000 ארנקי Phantom, Slope and TrustWallet מהם גנבו כ-5 מליוני דולרים במצטבר. המתקפה פגעה רק בארנקים ״חמים״ (כאלו המחוברים לרשת).
״המתקפה בהכרח תצית מחדש ויכוח ארוך סביב אבטחת ארנקים חמים, שנשארים מחוברים לאינטרנט בכל עת על מנת לספק למשתמשים דרך נוחה לשלוח, לאחסן ולקבל קריפטו. ארנקים קרים - כונני USB שחייבים להיות מחוברים למחשב כדי לחתום על עסקאות - מוכיחים את עצמם כאלטרנטיבה בטוחה יותר, אם כי פחות נוחה״, כותבים בפרסום של coindesk.
פריצות אחרונות לארנקים מבוססי Near Protocol או Solana מעלות את הדיון סביב היכולת לאבטח ארנקי קריפטו וארנקים חמים באופן פרטני
רשת הבלוקצ'יין Near Protocol חשפה פרצת אבטחה שהתגלתה ביוני, שיכולה הייתה לגרום לשירות צד שלישי לקבל גישה למפתחות הפרטיים (seed phrases) של ארנקי המשתמש. זאת, באמצעות התערבות התוקף במנגנון שחזור המפתח בדוא״ל או SMS.
Near שיתפה ביום חמישי האחרון פוסט בבלוג אודות הפרצה, שדווחה ב-6 ביוני על ידי חברת האבטחה Hacxyk. בזמנו, הפלטפורמה אפשרה למשתמשים להגדיר כתובת אימייל או מספר טלפון כאפשרות שחזור עבור Near Wallet, מה שמאפשר להם לקבל בחזרה גישה לארנק באמצעות דואר אלקטרוני או SMS.
״ב-6 ביוני 2022, צוות ארנק NEAR קיבל דוח המצביע על כך שמידע רגיש שותף עם צד שלישי. הבעיה תוקנה מיד באותו היום״, נכתב בבלוג החברה. ״בעוד הצוות היה מודע לאיום הזה, שינוי קוד בכל זאת הביא לאיסוף נתונים רגישים עבור חלק מהמשתמשים שהשתמשו בשחזור דוא"ל או SMS בארנקים שלהם.
״למרבה המזל, @Hacxyk תפס את זה לפנינו והגיש את הממצא לצוות האבטחה שלנו ב-6 ביוני (שעבורו זכו בפרס). צוות הארנק תיקן מיד את המצב. עד כה, לא מצאנו אינדיקטורים לפריצה הקשורים לאיסוף בשוגג של נתונים אלה, ואין לנו סיבה להאמין שהנתונים האלה הודלפו.״
בעקבות התקרית, בחברה לא מאפשרים למשתמשים שחזור חשבונות באמצעות דואר אלקטרוני או SMS וממליצים להחליף מפתחות דרך אתר החברה.
בעקבות הפרסום של Hacxyk , עלו תהיות מצד גולשים, כיצד ייתכן ותעבורה מוצפנת ב-SSL חושפת נתונים ב-plain text. עלתה השערה כי אולי מדובר באיום פנימי ששינה את הקוד וביטול ההצפנה (על מנת לראות נתונים מוצפנים ב-SSL, על התוקף לפתוח את ההצפנה באמצע הדרך. פעולה שאינה טריוויאלית.)
התקרית ב-Near Protocol מגיעה על רקע אירוע נוסף בעולם הקריפטו. הפעם, ארנקים מבוססי Solana ecosystem נפרצו בדרך כלשהי. על פי דיווחים ברשת, מדובר בלפחות 8000 ארנקי Phantom, Slope and TrustWallet מהם גנבו כ-5 מליוני דולרים במצטבר. המתקפה פגעה רק בארנקים ״חמים״ (כאלו המחוברים לרשת).
״המתקפה בהכרח תצית מחדש ויכוח ארוך סביב אבטחת ארנקים חמים, שנשארים מחוברים לאינטרנט בכל עת על מנת לספק למשתמשים דרך נוחה לשלוח, לאחסן ולקבל קריפטו. ארנקים קרים - כונני USB שחייבים להיות מחוברים למחשב כדי לחתום על עסקאות - מוכיחים את עצמם כאלטרנטיבה בטוחה יותר, אם כי פחות נוחה״, כותבים בפרסום של coindesk.