Важно: Многочисленные биткоин-кошельки скомпрометированы

Главная » Преступность » Важно: Многочисленные биткоин-кошельки скомпрометированы
27.11.2018 от
Важно: Многочисленные биткоин-кошельки скомпрометированы

В популярной библиотеке Javascript event-stream, используемой для потоковой передачи данных в Node.JS, которая есть в миллионах веб-приложений, включая биткоин-кошелек с открытым исходным кодом от BitPay — Copay — и этот модуль, как сообщается, был скомпрометирован благодаря халатности, лени и некомпетентности.

Node.js — это программная платформа, основанная на движке V8, превращающая JavaScript из узкоспециализированного языка в язык общего назначения.

Пользователь с очень малой активностью на GitHub запросил права на публикацию библиотеки event-stream у своего предыдущего сопровождающего, Доминика Тарра (Dominic Tarr), который сказал, что он не поддерживал репозиторий в течение многих лет и дал контроль новому пользователю под ником right9ctrl.

Библиотека event-stream используется во многих Node.js приложениях. По словам заявителя на GitHub, пользователь right9ctrl либо намеренно внедрил вредоносное ПО или неосознанно. Эффект заключается в том, что он будет способствовать утечке приватных ключей из приложений, которые полагались на оба модуля event-stream и copay-dash.

Как пишет Айртон Спарлинг (Ayrton Sparling), разработчик обновил модуль вредоносным ПО, а затем исправил проблему, дабы избежать обнаружения. Но многочисленные люди, которые уже установили его, остаются в опасности. Открытый исходный код Copay используется многими криптовалютными приложениями. Но он создан и поддерживается многомиллионной компанией по обработке биткоин-платежей — BitPay — что вызывает вопросы.

Проблема была быстро решена в новой версии, но под угрозой другие кошельки, такие как BTC/BCH кошелек Keoken, который скопировал кодовую базу BitPay. В настоящее время они исправляют уязвимость.

Добавленный код был запутан, что затрудняет чтение при первом взгляде. При более тщательном изучении кода обнаруживается уязвимость:

  1. Написано специально, чтобы искать горячие кошельки (те, которые работают в браузере или на мобильном телефоне).
  2. Код специально предназначен чтобы искать кошельки содержащие > 100 BTC or 1000 BCH.
  3. Эксплойт, после захвата паролей кошелька, отправляет средства на сервер, расположенный в Куала Лумпур.

Те, кто не знаком с open source разработкой, могут иметь неправильное представление о том, что все это делается бесплатно из-за идеалов или хобби, но это далеко не так. Большинство крупных и важных разработок с открытым исходным кодом, таких как работа над Bitcoin Core или работа над ядром Linux, выполняется разработчиками, которые работают в компаниях, заинтересованных в разработке такого программного обеспечения.

Такие компании, как Red Hat, вносят код в ядро Linux, а такие компании, как Blockstream, используют труды разработчиков Bitcoin Core. Причина очевидна: они могли просто ждать релизов и полагаться на работу других, но эти компании, по понятным причинам, имеют цели по разработке, и самое главное, экономические интересы.

Эта модель работает для разработки программного обеспечения в большом масштабе, и этот автор считает, что нет причин, по которым она не должна быть применима здесь. Возможно, BitPay, не должен использовать программное обеспечение на доверительной основе. Миллионы и миллионы долларов на клиентских кошельках доверяются им, а не разработчикам. Если BitPay не заинтересован в активной разработке библиотек типа event-stream, то им следует использовать ответвленные версии, с проверкой безопасности перед каждым обновлением. Вместо этого, как утверждают многие заинтересованные стороны отрасли, они продемонстрировали некомпетентность.


Обсудите эту новость в лучших чатах по криптовалюте CryptoOn и bt[c]hat — чат

Поделиться
bitcoinBitcoin
$ 3.988,74
$
3.988,74
0.44%
rippleXRP
$ 0,314142
$
0,314142
0.04%
ethereumEthereum
$ 137,91
$
137,91
0.17%
litecoinLitecoin
$ 59,16
$
59,16
0.13%
stellarStellar
$ 0,114559
$
0,114559
6.89%
TelegramВконтактеЯндекс Зен
Вакансии
Все вакансии блокчейн индустрии в одном месте
©The Blockchain Journal, 2019
X