Malware került a BitPay Copay tárcájába
A BitPay bitcoin fizetésekkel foglalkozó vállalat megerősítette, hogy a Copay wallet veszélyeztetett helyzetbe került egy hackertámadást követően.
A BitPay hétfőn jelentette be, hogy a támadásról a Copay GitHub jelentéséből értesült, akik jelezték, hogy egy, az appok által használt, kívülálló JavaScript könyvtár módosítva lett úgy, hogy betöltsön egy rosszindulatú kódot. A malware a Copay és BitPay wallet appok 5.0.2-es verziójától az 5.1.0-ig mindegyikre felkerült. Minden valószínűség szerint a privát kulcsok, illetve bitcoin és bitcoin cash ellopására akarták használni.
A BitPay ezt nyilatkozta:
“Ennek ellenére a BitPay alkalmazása nem volt kitéve semmilyen veszélynek. Még jelenleg is vizsgáljuk, hogy a kód sebezhetősége okozott-e bármilyen kárt a Copay felhasználóknak.”
Mit tegyenek a Copay felhasználók?
A vállalat megkérte a felhasználókat, hogy ne futtassák a Copay walletet, amennyiben a fent említett verziók közül bármelyiket használják. A BitPay kiadott egy új frissített verziót, az 5.2.0-t, amiből már eltávolították a rosszindulatú kódot; ez ideiglenesen lesz elérhető a Copay és BitPay wallet felhasználók számára.
A BitPay arra is figyelmeztette a felhasználókat, hogy ne utaljanak semmilyen összeget új tárcákba a 12 szavas backup kifejezésükkel, ezek ugyanis össze vannak kötve a “potenciálisan veszélyeztetett privát kulcsokkal”.
“A felhasználóknak először frissíteniük kell az érintett walleteket, majd mindent küldjenek át a régi tárcákból az 5.2.0-es verzión lévő új tárcákba a Send Max használatával.”
A támadást állítólag egy Right9ctrl nevű fejlesztő hajtotta végre, aki a NodeJS könyvtár feletti karbantartást végezte, jelentette a ZDNet. Magát a malware-t 3 hónappal ezelőtt juttatta be a rendszerbe, miután hozzáférést kapott a tárházhoz.
Jackson Palmer, a dogecoin kriptovaluta megalkotója, ezt tweetelte reakcióként:
“Ez az egyik legnagyobb probléma a JavaScript alapú kriptovalutákkal, túl nagy függésük van az NPM-től. A BitPay lényegében bízik abban, hogy egyik fejlesztője sem fog rosszindulatú kódokat juttatni a tárcájába.”
