BitPay-ov Copay novčanik za kriptovalute je ugrožen malverom, kompanija izdaje savet za korisnike

Procesor za plaćanje kriptovalutama BitPay je izdao savet na svom zvaničnom blogu juče, 26. novembra, za korisnike svog bitkoin (BTC) novčanika otvorenog koda Copay, koji je, kako se izveštava, ugržen zlonamernim kodom.

Ova mana se odnosi na modul Node.js nezavisnog proizvođača, poznat i pod nazivom "event stream", koji se koristi u verzijama 5.0.2 do 5.1.0 BitPay aplikacija i Copay. Prema izveštaju GitHub-a o problemu, ovaj modul je modifikovan da učita malver koji može da ukrade privatne ključeve korisnika.

Objava BitPay-a navodi da BitPay aplikacija nije ugrožena zlonamernim kodom, ali da njegov tim istražuje da li je ranjivost bila eksploatisana protiv bilo kog CoPay korisnika.

U međuvremenu, kompanija je savetovala svoje korisnike, navodeći da svako ko koristi verziju Copay od 5.0.2 do 5.1.0, "ne bi trebalo da pokrene ili otvoriti aplikaciju". Kompanija je izdala bezbednosnu ispravku u verziji 5.2.0, koja je već puštena i može da se preuzme na App store-u.

Kompanija takođe upozorava da bi korisnici pogođenih verzija "trebalo da pretpostave" da su njihovi privatni ključevi možda ugroženi, i da iz tog razloga treba da prebace sva svoja sredstva na nove, sigurne v5.2.0 novčanike "odmah":

"Korisnici ne bi trebalo da pokušavaju da prebacuju sredstva na nove novčanike unošenjem 12 reči koje služe za backup ugroženih novčanika (koji odgovaraju potencijalno ugroženim privatnim ključevima). Korisnici bi prvo trebalo da ažuriraju svoje ugrožene novčanike (5.0.2-5.1.0), a zatim pošalju sva sredstva sa njhovih ugroženih novčanika na novu verziji novčanika 5.2.0, koristeći funkciju Send Max kako bi pokrenuli transakcije svih sredstava."

Prema izveštaju o problemu GitHub-a, malo poznati korisnik koji se zove right9ctrl zatražio je i dobio pravo da objavljuje na ’event-stream library-u’ (koji se koristi u modulu Node.js u aplikaciji Copay) od svog prethodnog održavaoca, Dominika Tara, koji je priznao da više ne održava repozitorijum i nije sumnjao na novog korisnika zlonamernog softvera.

Kao odgovor na vesti, tvorac dogekoina Džekson Palmer juče je u tvitu izrazio zabrinutost da je "ovo jedno od najvažnijih problema sa novčanicima za kriptovalute na JavaScript-u koji imaju veliku zavisnost od NPM [Node.js package manager]. @BitPay je u suštini poverio svim ’upstream’ programerima da nikad ne ubacuju zlonamerni kod u svoj novčanik – niti da greškom "puste napadača".

Ranije ove jeseni, razvojni tim bitkoina je objavio ažuriranje nakon otkrivanja ranjivosti u svom softveru, grešku koji je suvlasnik Bitcoin.org-a opisao kao "vrlo zastrašujuću", sa potencijalom da se "sruši veliki deo bitkoin mreže ako ih eksploatišu zlonamerni rudari".

 

Pripremio: Nikola Mosurović