BitPay de Copay Portemonnee Aangetast door Schadelijke Code, Stevig Advies voor Gebruikers

BitPay’s Copay Wallet Compromised by Malicious Code, Firm Issues Advice for Users <

Crypto payment processor BitPay uitgegeven advies op de officiële blog van gisteren, Nov. 26, voor de gebruikers van de open – Bitcoin (BTC) portemonnee Copay, die heeft naar verluidt zijn aangetast door schadelijke code.

De kwetsbaarheid met betrekking tot een derde-partij Node.js module, ook wel bekend als een “event stream,” die wordt gebruikt in versie 5.0.2 door 5.1.0 van BitPay de Copay en BitPay apps. Volgens een issue report, deze module is aangepast voor het laden van malware die in staat is om het stelen van gebruikers’ persoonlijke sleutels.

BitPay de post stelt dat de BitPay app is niet kwetsbaar voor de schadelijke code, maar dat zijn team onderzoekt of de kwetsbaarheid had uitgebuit tegen een CoPay gebruikers.

In de tussentijd, het bedrijf heeft geschetst van advies voor de gebruikers, waarin staat dat iedereen met behulp van Copay versie 5.0.2 te 5.1.0, “mag niet uitvoeren of openen van de app.” Het bedrijf heeft een beveiligingsupdate uitgebracht in versie (5.2.0), wat het gevolg is voor de op handen zijnde release op app-stores.

Het bedrijf waarschuwt dat de gebruikers van de betrokken versies “aannemen” hun eigen toetsen gecompromitteerd kan zijn, en daarom verplaatsen de holdings om nieuwe, veilige v5.2.0 portefeuilles “direct”:

“Gebruikers moeten niet proberen te verplaatsen fondsen naar nieuwe portefeuilles door het importeren beïnvloed portemonnee’ twaalf woord back-zinnen (die overeenkomen met de potentieel gevaar persoonlijke sleutels). Gebruikers moeten eerst een update van hun portemonnee getroffen (5.0.2-5.1.0) en vervolgens verzenden alle fondsen uit de getroffen portemonnee aan een nieuwe portemonnee versie 5.2.0, met het Verzenden van Max-functie voor het initiëren van transacties van alle fondsen.”

Volgens de issue report, een weinig bekende gebruiker genaamd right9ctrl aangevraagd en is verleend publiceren rechten op de event-stream bibliotheek (die is gebruikt in de Node.js module op de Copay app) van de vorige beheerder, Dominic Tarr, die toegegeven, hij was niet langer onderhouden van het archief en deed niet vermoeden dat de nieuwe gebruiker van malintent.

In reactie op het nieuws, Dogecoin schepper Jackson Palmer gisteren getweet zijn bezorgdheid dat “dit is een van de grote problemen met JavaScript-gebaseerde cryptocurrency portemonnee met zware up-stream afhankelijkheden vanuit NPM [Node.js package manager]. @BitPay wezen vertrouwde de up-stream ontwikkelaars nooit kwaadaardige code injecteren in hun portemonnee”, noch “laten we [een] aanvaller in” per ongeluk.

Eerder dit najaar, Bitcoin Kern een update uitgebracht na de detectie van een beveiligingslek in de software, een bug die de mede-eigenaar van Bitcoin.org beschreven als “zeer eng,” met de potentie om “crashte een groot deel van het Bitcoin netwerk als geëxploiteerd door een rogue mijnwerkers.”