Большое количество Биткоин-кошельков могут быть в опасности из-за хакера-разработчика

Большое количество Биткоин-кошельков могут быть в опасности из-за хакера-разработчика

Модуль Node.js, называемый event-stream , используется в миллионах веб-приложений, в том числе в Биткоин-кошельке с открытым исходным кодом от BitPay — Copay. Этот модуль, как сообщается, был подвергнут риску из-за того, что можно назвать ленью и некомпетентностью разработчиков.

Пользователь с очень маленькой кодинговой активностью на GitHub запросил права публикации библиотеки потока событий от своего предыдущего разработчика, Доминика Тарра, который сказал, что он не поддерживал хранилище в течение многих лет и дал контроль новому пользователю, под никнеймом right9ctrl.

Библиотека event-stream используется во многих приложениях с модулем Node.js. Согласно жалобе на GitHub, новый пользователь right9ctrl либо внедрил вредоносное ПО, либо неосознанно что-то сделал, что привело к утечке частных ключей из приложений, которые использовали обработку потока событий и copay-модуль.

Айртон Спарлинг писал (прим. ред. «коммит» — операция сохранения и отправки изменений на сервер в системах версионного контроля, «репозиторий» — непосредственно место хранения данных, «мажорная версия» — значение версии, которое увеличивается со временем при внисении в разрабатываемое приложение каких-то важных и значимых изменений, при разработке и тестировании обычно равно 0):

«Он добавил flatmap-stream, который всецело (1 коммит в репозиторий, но 3 версии, последний удаляет уязвимость, не поддерживаемую и созданную 3 месяца назад) внедряет уязвимость нацеленную на ps-tree. Как только он внедрил её почти в то же время уязвимость была добавлена в flatmap-streamp, он протолкнул версию и опубликовал. Буквально вторым коммитом (3 дня спустя) после этого он удалил уязвимость и поднял мажорную версию, чтобы он мог очистить репозиторий от flatmap-stream, но всё равно все те (миллионы недельных установок), кто использует 3.x версию под прицелом.»

По сути, разработчик обновил модуль с помощью вредоносного ПО, а затем исправил проблему, чтобы избежать обнаружения, но множество людей уже установили его. Copay, чей открытый исходный код используется многими крипто-приложениями, является лишь одним из многих приложений, которые используют эту библиотеку, но она поддерживается многомиллионной компанией по обработке Биткоин-платежей BitPay.

Почему BitPay использует up-stream библиотеки?

В пакет NPM с 2,000,000 загрузок в неделю был внедрен вредоносный код. Пока никто не знает, что он делает. https://github.com/dominictarr/event-stream/issues/116 … — @garybernhardt

Теперь мы знаем: его цель — это кража данных с Биткоин-кошелька Copay-dash. — @joepie91

Те, кто не знаком с разработкой с открытым исходным кодом, могут иметь неправильное представление о том, что все это делается бесплатно из-за идеалов или хобби, но это далеко не так. Например, большинство крупных и важных разработок с открытым исходным кодом, таких как работа с Bitcoin Core или работа с Linux Kernel, выполняется разработчиками, которые работают в компаниях, заинтересованных в разработке такого программного обеспечения.

Вы понимаете как много продуктов и сервисов используют его? Проблема не только с BitPay — @brianchoffman

Такие компании, как Red Hat, занимаются разработкой ядра Linux, а компании, такие как Blockstream, используют разработчиков ядра Биткоина. Причина очевидна: они могут просто ждать релизов и полагаться на работу других, но эти компании, по понятным причинам, стремятся к достижению целей в разработке, и, что самое главное, получают большие деньги за развития ядра Linux.

Похоже эта атака была специально направлена на NPM модуль, который используется кошельком Copay. — @ummjackson

Это одна из основных проблем криптовалютных кошельков написанных на JavaSript, у них слишком большая зависимость от NMP модуля. @BitPay доверяет всем up-stream разработчикам, и они никогда не внедрят вредоносное ПО в их кошелек. К сожалению, @dominictarr впустил злоумышлинника. — @ummjackson

Эта модель работает для разработки крупного ПО, и нет причин, по которым она не должна использоваться здесь. По правде говоря, BitPay, не должна использовать программное обеспечение на основе доверия. Люди доверяют ИМ миллионы долларов, а не up-stream разработчикам. Если BitPay не заинтересована в разработке библиотек event-stream, тогда они должны использовать форковые версии, проверяя на безопасность каждое обновление. Вместо этого, как утверждают многие заинтересованные стороны отрасли, они продемонстрировали некомпетентность.

Источнки: CCN

Браузерная платформа для криптовалютного трейдинга
Take Profit, Stop, Loss без заморозки.
6 криптовалютных бирж в 1 окне.
Учебный счет на 100 000 $.
Trailing stop, trailing buy.
Разработанно Expertcoin
Китай собирается заблокировать майнинг биткоина
Китай собирается заблокировать майнинг биткоина
Китай собирается заблокировать майнинг биткоина

Китай — крупнейший рынок компьютерного железа разработанного для майнинга биткоинов и других криптовалют, даже не смотря на то, что ранее деятельность подпадала под регулятивную «серую зону». Государственный комитет по развитию и реформам КНР в понедельник сообщил он  исследовал общественное мнение по пересмотренному перечню отраслей, которые он хочет поощрять, ограничивать или ликвидировать. Список был впервые опубликован…

Подробнее
Торговля EOS, Augur и Maker запускается на Coinbase PRO
Торговля EOS, Augur и Maker запускается на Coinbase PRO
Торговля EOS, Augur и Maker запускается на Coinbase PRO

В скором времени станет возможным торговля токенами EOS и REP под всеми юрисдикциями поддерживаемыми Coinbase Pro, за исключением штата Нью Йорк. MKR будет доступен во всех поддерживаемых Coinbase Pro юрисдикциях вне Соединённых Штатов. Возможно для каждого инструмента будут добавлены дополнительные регионы. Coinbase Pro начал принимать входящие трансферы EOS, Augur и Maker. Как только наберётся достаточная…

Подробнее
Криптобиржу Bithumb взломали. Миллионы XRP и EOS украдены
Криптобиржу Bithumb взломали. Миллионы XRP и EOS украдены
Криптобиржу Bithumb взломали. Миллионы XRP и EOS украдены

Южнокорейская криптовалютная биржа Bithumb 30 марта 2019 объявила, что наблюдает «аномальный вывод» криптовалютных сбережений с горячих кошельков компании. Компания подозревает сотрудников фирмы в организации инцидента. Примечательно, что компания заявила, что все средства пользователей защищены и хранятся на холодных кошельках . Нисайдерская работа? Bithumb, a South Korea-based cryptocurrency exchange that consistently ranks among the world’s largest…

Подробнее
Cardano провела обновление до версии 1.5, приближаясь к долгожданному релизу Shelley
Cardano провела обновление до версии 1.5, приближаясь к долгожданному релизу Shelley
Cardano провела обновление до версии 1.5, приближаясь к долгожданному релизу Shelley

Криптовалюта Cardano, которая является 11-й по величине с рыночной капитализацией почти в $1,4 млрд, сегодня обновилась до версии 1.5, что является важным шагом к ее долгожданному релизу Shelley, приблизившись ближе к отказу от криптовалютных майнеров и работы на протоколе Доказательства владения доли блокчейна. Последняя версия вводит ряд изменений, направленных на сглаживание перехода от Byron (текущее…

Подробнее
Хешрейт сети Биткоина достиг 4-месячного максимума
Хешрейт сети Биткоина достиг 4-месячного максимума
Хешрейт сети Биткоина достиг 4-месячного максимума

Хэшрейт Биткоина достиг самого высокого уровня с ноября 2018 года. Увеличение мощности майнинга предполагает прибыль, доступную по текущей спотовой цене, а также потенциальное ожидание будущего повышения цен. Превзойдя отметку в 52 квинтиллиона хэшей в секунду во вторник 19 марта, сложность майнинга мало изменилась за последний месяц или около того, а это означает, что новым майнерам…

Подробнее
Швейцарский крупнейший онлайн-ретейлер начал принимать криптовалюту
Швейцарский крупнейший онлайн-ретейлер начал принимать криптовалюту
Швейцарский крупнейший онлайн-ретейлер начал принимать криптовалюту

«Не важно какая у вас криптовалюта, мы примем любую» — таким кажется сообщение крупнейшего интернет-магазина Швейцарии с годовой выручкой около $1 миллиарда, Digitec Galaxus. Они принимают швейцарские франки с конверсией, обработанной Coinify, но если вы хотите потратить около $200 швейцарских франков на какой-либо из их 2,7 миллиона продуктов, теперь вы можете заплатить с помощью: «Bitcoin,…

Подробнее
Мессенджер Kakao проведет интеграцию с крипто-кошельком
Мессенджер Kakao проведет интеграцию с крипто-кошельком
Мессенджер Kakao проведет интеграцию с крипто-кошельком

Kakao, крупнейшее приложение для обмена сообщениями в Южной Корее с более чем 44 миллионами активных пользователей, проведет интеграцию с крипто-кошельком, который позволит пользователям использовать криптовалюту на постоянной основе, согласно fnnews, финансовому изданию из Южной Кореи. Предоставление 44 миллионам активных пользователей доступа к криптовалюте само по себе очень важно. Более того, Kakao — это крупнейший в…

Подробнее
Ripple провела полную интеграцию с Woocommerce
Ripple провела полную интеграцию с Woocommerce
Ripple провела полную интеграцию с Woocommerce

Ripple сделал еще один важный шаг на своем пути к мейнстримному принятию. Криптовалюта теперь полностью интегрирована с WooCommerce, гигантом онлайн-рынка, который управляет 3,3 миллионами интернет-магазинов. Актив достиг этого через программу вознаграждения Витце Винда, который является основателем XRPL Labs. На прошлой неделе было объявлено, что Винд предлагает 3,000 XRP (более $900) в качестве приза для всех,…

Подробнее
Шесть банков согласились выпустить стейблкоины на блокчейне от IBM
Шесть банков согласились выпустить стейблкоины на блокчейне от IBM
Шесть банков согласились выпустить стейблкоины на блокчейне от IBM

Шесть международных банков подписали письма о намерениях выпустить свои собственные стейблкоины, поддерживаемые национальными фиатными валютами, в платежной блокчейн-сети IBM «World Wire». Новость была совместно анонсирована IBM и Stellar во время конференции Money 2020 Asia в Сингапуре, — сообщил 18 марта финансовый новостной канал Cheddar. Как сообщалось ранее, трансграничная платежная сеть IBM Blockchain World Wire (BWW)…

Подробнее
Coinbase Pro обновит структуру рынка для увеличения ликвидности
Coinbase Pro обновит структуру рынка для увеличения ликвидности
Coinbase Pro обновит структуру рынка для увеличения ликвидности

Крупнейшая американская криптовалютная биржа Coinbase объявила о новой структуре рынка для своей профессиональной торговой платформы Coinbase Pro в блоге, опубликованном 15 марта. Согласно объявлению, изменения направлены на увеличение ликвидности, улучшение установления цен и обеспечение их более плавного движения. Изменения включают в себя новую структуру сбра комиссии, которая, как сообщается, предназначена для увеличения ликвидности, обновленные максимумы…

Подробнее