据Cointelegraph 11月27日报道,加密货币支付处理商BitPay的开源比特币钱包Copay遭受了恶意代码侵害,BitPay用户在官方博客上发布了一份紧急建议。
图片来源的:visualhunt
该漏洞出现在被称为event stream的第三方模块Node.js中,event stream在BitPay的Copay钱包和BitPay应用程序5.0.2至5.1.0版中使用。根据GitHub的问题报告,这个模块被修改为可以加载能够窃取用户私钥的恶意软件。BitPay的文章指出,BitPay应用程序不会受到恶意代码的攻击,但其团队正在调查该漏洞是否被利用来攻击了任何CoPay用户。
该公司向用户提出了一些建议,称任何使用Copay 5.0.2至5.1.0版本的用户“都不应该运行或打开该应用程序”。该公司已经在5.2.0版本中发布了安全更新,该版本即将在应用商店发布。
该公司还警告说,受影响版本的用户应该假定他们的私钥可能已经被泄露,因此应该立即将所有财产转移到新的、安全的5.2.0版钱包中:
“用户不应该试图通过导入受影响的钱包中的12个单词备份短语(对应于可能被泄露的私钥)来将资金转移到新的钱包。用户应该首先更新其受影响的钱包(5.0.2-5.1.0版),然后将所有资金从受影响的钱包发送到5.2.0版本的全新钱包,通过使用Send Max特性来启动所有资金的交易。”根据GitHub问题报告,一个名叫right9ctrl的不出名用户从其以前的维护者Dominic Tarr那里请求并被授予event-stream存储库(在Copay应用程序的Node.js模块中使用)的发布权限,Dominic Tarr承认他不再维护存储库,但他并没有怀疑新用户的恶意行为。
狗狗币的创始人杰克逊•帕尔默(Jackson Palmer)昨日在推特上对这一消息作出了回应并表达了他的担忧:
“这是基于javascript的加密货币钱包的一个主要问题,这些钱包对上游的NPM[Node.js包管理器]有严重的依赖性。@BitPay本质上信任所有上游开发人员从不将恶意代码注入他们的钱包”,也不会在不经意间“让攻击者进来”。今年秋天早些时候,比特币核心钱包(Bitcoin Core)在检测到其软件中的漏洞之后发布了一项更新,Bitcoin.org的共同所有者称该漏洞“非常可怕”,如果被任何流流氓矿工利用,将导致比一大部分的比特币网络崩溃。
本文链接:https://www.8btc.com/article/318816
转载请注明文章出处
