Los recientes y reiterados ataques a billeteras en diversas plataformas ponen en evidencia el problemas de seguridad potencialmente grave vinculado al uso de herramientas en Web3. Si bien esto ha motivado a muchas plataformas a intensificar sus medidas de seguridad, Near ni siquiera tuvo ir viendo lo que pasaba alrededor para trabajar en las medidas más efectivas. Dos meses atrás tuvo una alarma que impúlsó al protocolo a iniciar estos cambios.
El 6 de junio de 2022, el equipo de NEAR Wallet recibió un informe de error que indicaba que se había compartido información confidencial con un tercero. El problema se solucionó rápidamente el mismo día.
“Si bien el equipo estaba al tanto de esta amenaza y tuvo cuidado de desinfectar los datos recopilados por el servicio de terceros, un cambio de código resultó en la recopilación de datos confidenciales para algunos usuarios que habían utilizado la recuperación de correo electrónico o SMS con sus billeteras. Afortunadamente, @Hacxyk captó esto antes que nosotros y envió el hallazgo a nuestro equipo de seguridad el 6 de junio (por lo que obtuvieron una recompensa). El equipo de la billetera remedió la situación de inmediato, eliminó todos los datos confidenciales e identificó a cualquier miembro del personal que pudiera haber tenido la capacidad de acceder a estos datos.”
Near ya no permite que los usuarios creen cuentas mediante correo electrónico o SMS para la recuperación de la cuenta y recomiendan que los usuarios que hayan usado las opciones de recuperación de correo electrónico o SMS en el pasado roten sus claves.
Esto se puede lograr visitando wallet.near.org , ya sea habilitando un dispositivo Ledger (su opción más segura y altamente recomendada) o habilitando la seguridad con frase de contraseña. Después de hacer esto, los usuarios deben deshabilitar la recuperación de correo electrónico o SMS.
Con la transición del código base de la billetera de código abierto al equipo de My NEAR Wallet, se están trabajando muchas mejoras.
Les recordamos a nuestros usuarios que la seguridad de las cuentas de billetera es de suma importancia para nosotros, y no se detiene con nosotros tampoco. Las elecciones y el comportamiento del usuario también afectan la seguridad. Considere usar un dispositivo de hardware, como un Ledger, para asegurar su billetera. Use solo dispositivos confiables y seguros cuando cree y acceda a su billetera. Nunca proporcione su frase de recuperación o claves privadas.
Planes de MyNearWallet
- Como se mencionó anteriormente, eliminamos el correo electrónico/sms después de haber decidido que estos métodos no cumplen con nuestros estándares de seguridad.
- Planeamos lanzar un nuevo método de recuperación, fácil de usar y altamente seguro (más sobre esto a continuación)
- Por ahora, le recomendamos que use la frase inicial o se conecte a través de Ledger. NB: si usa Ledger o no ha usado correo electrónico/sms como métodos de recuperación, ¡está a salvo!
- Estamos trabajando en el desarrollo de una nueva función que permitirá actualizar las claves. Decidimos presentarlo basándonos en los acontecimientos actuales para proteger a los usuarios tanto como sea posible (todavía no hay ETA). Esta es una característica de seguridad importante que estará en la nueva versión. Pero, dada la situación y entendiendo las necesidades de la comunidad, lo agregaremos a la interfaz actual.
Nuevo método de recuperación:
El equipo de MNW está trabajando activamente en un nuevo sistema de almacenamiento de claves. Estará protegido de tales fugas. Inicialmente, planeamos integrarlo en la V2 de la billetera web, cuyo ETA es otoño de 2022. Sin embargo, vemos la necesidad de integrarlo en la interfaz actual.
Puede obtener más información sobre el futuro de wallet.near.org aquí:
https://near.org/blog/near-opens-the-door-to-more-wallets/
