371 万美元的 JUP 代币与木星索赔网站 "古怪 "的 4806 封电子邮件相关联
木星公司备受争议的空投索赔系统被证明存在缺陷,因为电子邮件被链接到了链上钱包。
- 已发布: Feb 7, 2025 at 09:00
- 已编辑: Feb 7, 2025 at 20:14
2025年1月是Solana’最热切期待的流动性事件之一,在200万个合格钱包中分发了7亿美元JUP代币。
然而,Jupuary 空投的申领过程却引起了巨大争议。为了改善沟通和安全性,Jupiter要求索赔者使用电子邮件地址创建一个 ‘Jupiverse’个人资料。
用户的担忧和投诉后来得到了证实,一个安全“怪癖”导致 4,800 多封个人电子邮件被链接到了链上钱包。
已采取哪些措施来纠正这一错误,以及受影响的用户可以做些什么来恢复他们的隐私?
一月安全“怪癖”泄露了索赔人的电子邮件地址
。1月25日,Jupuary 索赔终于正式开启,DeFi 超级应用向 Solana 用户发放了数百万美元的 JUP 代币。尽管许多 Solana 社区成员对必须提供电子邮件地址才能申领 $JUP 表示担忧和沮丧,但 Jupuary 在很大程度上是一个欢乐的时刻。
10天后,这些安全问题得到了证实。在一份公告中,Jupiter 通信负责人卡什-丹达(Kash Dhanda)透露,Ledger X SolFlare 用户交易处理过程中的一个“怪癖”导致 0.5% 的 Jupiverse 电子邮件地址在交易签名的同时被链上广播。
该问题源于 Solflare’optimized transaction pipelining(优化的交易流水线),该流水线旨在提高 Solflare 用户的交易登陆率。
一些钱包提供商只要求账户签署确认钱包和电子邮件地址之间链接的信息,而 Ledger 仅支持交易签署。
Jupiter为使用Ledger硬件钱包的索赔人设计了一个特殊流程,绕过了这一限制,但Solflare’优化的流水线自动将这些交易发送到区块链,以提高交易登陆率。
Dhanda 承认,少数 Jupiter 开发人员意识到了这个问题。但是,负责 Jupiverse 配置文件系统的开发人员却未被告知。
根据Flipside数据,安全“怪癖”暴露了4,806个电子邮件地址,将它们与6,371个钱包联系起来。这些被曝光的钱包共有资格申领 371 万美元的 JUP 代币,目前价值超过 310 万美元。
泄露引发对 Jupuary Claim 的批评
。4800多个电子邮件地址的泄露为心怀不满的Jupuary批评者提供了大量弹药。
尽管 Jupiter’previous commitment to implementing user feedback during various governance proposals"(尽管 Jupiter’之前曾承诺在各种治理提案中落实用户反馈),但用户对 DeFi 强国选择忽视社区’关切感到沮丧。
在最近的一次黑客攻击中,一名恶意行为者获得了 Jupiter 𝕏 帐户的访问权限,这进一步加剧了人们的担忧。
面对批评,Dhanda 承认 Jupiter’designed Jupiverse profiles “was not ideal”.
。此后,Jupiter 删除了钱包和电子邮件地址之间的所有链接。今后,Jupiter 将利用 zk 技术来确认用户是否提供了电子邮件地址,而无需透露任何敏感信息。Dhanda 还建议用户考虑使用新的电子邮件地址和钱包。