Процессор Crypto-платежей BitPay опубликовал вчера в своем официальном блоге 26 ноября для пользователей своего кошелька с открытым исходным кодом Bitcoin ( BTC ) Copay, который, как сообщается, был взломан вредоносным кодом.
Уязвимость относится к стороннему модулю Node.js, также известному как «поток событий», который используется в версиях с 5.0.2 по 5.1.0 приложений BitPay Copay и BitPay. Согласно отчету о выпуске GitHub , этот модуль был изменен для загрузки вредоносных программ, способных украсть личные ключи пользователей.
В сообщении BitPay говорится, что приложение BitPay не было уязвимым для вредоносного кода, но его команда изучает, была ли уязвимость использована против любых пользователей CoPay.
В то же время компания изложила рекомендации своим пользователям, заявив, что любой, кто использует версию Copay от 5.0.2 до 5.1.0, «не должен запускать или открывать приложение». Компания выпустила обновление безопасности в версии (5.2. 0), что связано с неминуемым выпуском в магазинах приложений.
Компания также предупреждает, что пользователи затронутых версий «должны принимать» свои личные ключи, возможно, были скомпрометированы, и поэтому перемещать любые запасы в новые, защищенные кошельки v5.2.0 «немедленно»:
«Пользователи не должны пытаться перенести средства на новые кошельки, импортировав подзаголовки резервных копий затронутых кошельков (которые соответствуют потенциально скомпрометированным закрытым ключам). Пользователи должны сначала обновить свои затронутые кошельки (5.0.2-5.1.0), а затем отправить все средства от затронутых кошельков на совершенно новый кошелек в версии 5.2.0, используя функцию Send Max, чтобы инициировать транзакции всех фондов ».
Согласно отчету о выпуске GitHub, малоизвестный пользователь с именем right9ctrl запросил и получил права публикации для библиотеки потока событий (которая используется в модуле Node.js в приложении Copay) у своего предыдущего сопровождающего Доминика Тарра, который признал, что он больше не поддерживает хранилище и не подозревает нового пользователя о намерениях.
В ответ на эту новость, создатель Dogecoin Джексон Палмер вчера написал в твиттере свою обеспокоенность тем, что «это одна из главных проблем с кошельками с криптовалютами на основе JavaScript с тяжелыми зависимостями в потоке от NPM [диспетчера пакетов Node.js]. @BitPay, по сути, доверял всем разработчикам up-stream, чтобы никогда не вводить вредоносный код в свой кошелек », - и« не позволять [а] атакующему «непреднамеренно».
Ранее этой осенью Bitcoin Core опубликовал обновление после обнаружения уязвимости в своем программном обеспечении, которое совладелец Bitcoin.org назвал «очень страшным», с возможностью «разбить» огромный кусок биткойна если они эксплуатируются любыми изгоями ».
https://cointelegraph.com/news/bitpays-copay-wallet-compromised-by-malicious-code-firm-issues-advice-for-users
Latest news: 
. 
. 
. 
. 
. 
. 
Shop
Bidding Open
Topic: Копаный кошелек BitPay, скомпрометированный вредоносным кодом (Read 855 times)