Велика кількість біткойн-гаманців BitPay може мати вразливість

[Cuxta]

Велика кількість біткойн-гаманців BitPay може мати вразливість через невмілого розробника чи шахрая
Модуль Node.js, який називається потік подій (event-stream), використовується в мільйонах веб-додатків, включаючи біткойн-гаманець з відкритим кодом у BitPay - Copay, і цей модуль, як повідомляється, був скомпрометований через те, що об'єктивно можна назвати соціальною інженерією, лінню або некомпетентністю.

Користувач з дуже малою активністю на GitHub запросив права публікації в бібліотеку потоку подій від його попереднього супроводжуючого, Домініка Тарра (Dominic Tarr), який сказав, що він не підтримував репозиторій протягом багатьох років і надав контроль новому користувачеві, під назвою right9ctrl.

Бібліотека потоку подій використовується у багатьох програмах Node.js. На думку скаржника на GitHub, новий супровідник right9ctrl здійснив або ж підлий крок для впровадження шкідливого програмного забезпечення або діяв несвідомо, але це мало такий же ефект, тому що це може призвести до витоку приватних ключів програм, які покладаються як на потік подій, так і на copay-dash модулі.

Ейртон Спарлінг (Ayrton Sparling) пише:


Він додав потік flatmap-stream, який, по-перше здійснив репо(зберігання), але мав 3 версії, в останній видалив дію, не підтверджену, створену 3 місяці тому, орієнтуючись на додавання ps-tree. Після того, як він додає flatmap-stream практично в той же час, він натискає версію та публікує. Потім, через 3 дні після цього він видаляє цю дію і налаштовує головну версію так, щоб мати змогу очистити репозиторій від flatmap-stream, але все ще є мільйони щотижневих інсталяцій, які видно за допомогою 3.x.

Отже,  розробник оновив модуль із шкідливим програмним забезпеченням, а потім виправив цю проблему, щоб уникнути виявлення, але численні користувачі, які його вже встановили, все ще знаходяться в зоні ризику. Copay, чий відкритий вихідний код сам використовується багатьма криптовалютними додатками, буде лише одним із багатьох, які використовують цю бібліотеку, але як правило, він використовується та підтримується відомою біткойн-компанією для обробки платежів - BitPay.


We know now: it targeted copay-dash, a Bitcoin wallet, and steals the wallet files.
— Sven Slootweg (@joepie91) 26 листопада 2018 р.
Ті, хто не входить до спільноти розробників з відкритим кодом, можуть мати неправильне уявлення про те, що все це робиться безкоштовно через ідеали чи хоббі, що далеко від дійсності. Наприклад, більшість важливих і потужних програм з відкритим кодом,  робота над Bitcoin Core або робота з ядром Linux, виконуються розробниками, які працюють у компаніях, які мають частку в розробці такого програмного забезпечення та зацікавлені в ньому.


You do know how many products and services do this? This is a much bigger issue than just BitPay.
— Brian Hoffman (@brianchoffman) 26 листопада 2018 р.
Такі компанії, як Red Hat, надають код для Linux Kernel, а компанії, такі як Blockstream, використовують розробників Bitcoin Core. Причина очевидна: хоча вони могли б просто чекати релізів та покладатися на роботу інших, ці компанії, зі зрозумілих причин, мають на меті досягти успіху у розвитку, а також, що найголовніше, мають великі гроші при участі в розробці ядра.


This is one of the major issues with JavaScript-based cryptocurrency wallets with heavy up-stream dependencies coming from NPM. @BitPay essentially trusted all the up-stream developers to never inject malicious code into their wallet.@dominictarr also let the attacker in, sadly
— Jackson Palmer (@ummjackson) 26 листопада 2018 р.
Ця модель працює для розробки великого програмного забезпечення і немає жодних причин, чому вона не може застосовуватися тут. Правду кажучи, BitPay, можливо, не повинно використовувати програмне забезпечення на довірчій основі. На них покладаються чимало людей з мільйонами доларів на клієнтських гаманцях, а не розробники-початківці. Якщо BitPay не зацікавлена в активній розробці бібліотек, таких як потік подій, то вони повинні використовувати forked-версії, перевіряючи, що кожне оновлення є безпечним. Натомість, як стверджують багато зацікавлених сторін галузі, вони продемонстрували некомпетентність.
Джерело:
http://coinews.io/ua/category/1-kripto/article/3522-velika-k%D1%96l'k%D1%96st'-b%D1%96tkojn-gamanc%D1%96v-bitpay-mozhe-mati-vrazliv%D1%96st'-cherez-nevm%D1%96logo-rozrobnika-chi-shahraya