Copay – Множество биткоин-кошельков могут быть скомпрометированы

Провайдер кода на GitHub под названием “event-stream”, был заражен вредоносными программами. А кошельки Биткоин которые используют этот код могут быть скомпрометированы. Среди наиболее важных жертв — кошелек с открытым исходным кодом Copay, предоставленный BitPay.


Проблема была обнаружена после того, как пользователь с ограниченной кодирующей активностью на Github запросил права публикации в библиотеке event-stream от своего предыдущего менеджера Dominic Tarr.

Новый пользователь, right9ctrl, затем ввел вредоносное ПО в код. Неясно, было ли это действие преднамеренным или некомпетентным. Однако вредоносное ПО было добавлено в код и может привести к удалению закрытых ключей из приложений, использующих модули потока событий. Вредоносное ПО конкретно нацелено на кошельки биткоин.

Через три дня разработчик обновил модуль с помощью патча, чтобы избежать обнаружения. Но многие люди, которые установили зараженную версию, пострадали.

Атака затронула Copay и другие большие кошельки биткоин. Открытый исходный код Copay также используется многими другими криптографическими приложениями. Поэтому есть потенциал заражения на гораздо больше, чем кошельки биткоин.

Безопасность биткоин бумажника

Существует вероятность того, что после этого инцидента также пострадала и BitPay, одна из крупнейших компаний по крипто платежу в мире.

 

Кошелек Copay от Bitpay скомпрометирован

Кошелек Copay — у которого открытый исходный код используется многими криптографическими приложениями — это всего лишь один из многих кошельков, которые используют библиотеку.

Проблема в том, что кошелек построен и поддерживается компанией по обработке платежей — BitPay.

Теоретически, BitPay не должен использовать доверенное программное обеспечение. Компании доверяют миллионы долларов от кошельков своих клиентов. Если BitPay не заинтересован в активном развитии библиотек, таких как event-stream, тогда они должны использовать forked версии, проверяя, что каждое обновление безопасно. Вместо этого, как заявили многие игроки этой отрасли, они продемонстрировали некомпетентность.

Этот последний баг может изменить способ использования крипто компании программного обеспечения с открытым исходным кодом. Они обрабатывают миллионы долларов клиентов на основе платформ с открытым исходным кодом. Иногда это лучший способ ведения бизнеса. В других случаях, например, это подвергает крупные компании серьезной уязвимости.

Проблема заключается не в разработчиках кода. Большинство из них имеют хорошие намерения, а библиотеки кода, такие как GitHub, позволяют быстро развивать технологии через совместную работу.

Проблема заключается в том, что компании-разработчики ПО используют программное обеспечение с открытым исходным кодом. Если они не реализуют сложные процессы проверки, на них могут влиять такие инциденты. Экономики, достигнутой за счет использования публичных библиотек, недостаточно для оправдания компрометации клиентских денег.

Как новичку защитить свои биткоин кошелек

 

BitPay подтвердили существование уязвимости в кошельке Copay

В своём блоге компания признаёт, что вредоносный код был интегрирован в версии Copay 5.0.2 – 5.1.0 и некоторые приложения, однако не в сам сервис BitPay.

«Мы продолжаем изучать, была ли эта уязвимость когда-либо использована против пользователей Copay», – добавляет компания.

 

Пользователям, установившим Copay 5.0.2 – 5.1.0, не следует запускать приложение. Разработчики выпустили исправленную версию Copay 5.2.0 и загрузили её в магазины приложений.

«Пользователям следует исходить из того, что приватные ключи в затронутых кошельках могли быть скомпрометированы. Поэтому им следует немедленно переместить средства на новые кошельки (5.2.0), – добавляет компания.

–  Не следует пытаться перемещать средства на новые кошельки путём импортирования фразы для восстановления доступа от уязвимых кошельков, поскольку она соответствует потенциально скомпрометированному ключу.

Пользователям следует сначала обновить уязвимые кошельки (5.0.2 – 5.1.0), а затем переместить все средства с них на совершенно новые кошельки версии 5.2.0, используя функцию “Send Max”, чтобы инициировать перевод всех средств».

telegram-bitcoinrush

ЧЕРЕЗGDB
ИСТОЧНИКGoanadupăbitcoin
Предыдущая статьяУкраинский проект StudUp токенизирует знания молодых специалистов
Следующая статьяCryptoEvent RIW: итоги глобального крипто-события в Москве
Отказаться от желаний. Это концепция происходит от одного из трёх путей мудрости: юмор, парадокс, изменение. Она дублирует понятие парадокса. Именно тогда, когда мы больше не желаем чего-то, это может произойти. Искусство отказа от желаний невозможно перехвалить. Не существует ничего, без чего нельзя обойтись. Никогда человек не становился счастливей, если вдруг получал работу, деньги, любовь, которых желал. Настоящее большое счастье связано с неожиданным событием, которое намного превосходит ожидание человека. Мы ведем себя как вечные Деды морозы. Те, кто просит игрушечную железную дорогу, получают ее. А те, кто не просят ничего, могут получить гораздо больше. Перестаньте просить, и только тогда вас можно будет удолетворить.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here