Большое количество Биткоин-кошельков могут быть в опасности из-за хакера-разработчика

Большое количество Биткоин-кошельков могут быть в опасности из-за хакера-разработчика

Модуль Node.js, называемый event-stream , используется в миллионах веб-приложений, в том числе в Биткоин-кошельке с открытым исходным кодом от BitPay — Copay. Этот модуль, как сообщается, был подвергнут риску из-за того, что можно назвать ленью и некомпетентностью разработчиков.

Пользователь с очень маленькой кодинговой активностью на GitHub запросил права публикации библиотеки потока событий от своего предыдущего разработчика, Доминика Тарра, который сказал, что он не поддерживал хранилище в течение многих лет и дал контроль новому пользователю, под никнеймом right9ctrl.

Библиотека event-stream используется во многих приложениях с модулем Node.js. Согласно жалобе на GitHub, новый пользователь right9ctrl либо внедрил вредоносное ПО, либо неосознанно что-то сделал, что привело к утечке частных ключей из приложений, которые использовали обработку потока событий и copay-модуль.

Айртон Спарлинг писал (прим. ред. «коммит» — операция сохранения и отправки изменений на сервер в системах версионного контроля, «репозиторий» — непосредственно место хранения данных, «мажорная версия» — значение версии, которое увеличивается со временем при внисении в разрабатываемое приложение каких-то важных и значимых изменений, при разработке и тестировании обычно равно 0):

«Он добавил flatmap-stream, который всецело (1 коммит в репозиторий, но 3 версии, последний удаляет уязвимость, не поддерживаемую и созданную 3 месяца назад) внедряет уязвимость нацеленную на ps-tree. Как только он внедрил её почти в то же время уязвимость была добавлена в flatmap-streamp, он протолкнул версию и опубликовал. Буквально вторым коммитом (3 дня спустя) после этого он удалил уязвимость и поднял мажорную версию, чтобы он мог очистить репозиторий от flatmap-stream, но всё равно все те (миллионы недельных установок), кто использует 3.x версию под прицелом.»

По сути, разработчик обновил модуль с помощью вредоносного ПО, а затем исправил проблему, чтобы избежать обнаружения, но множество людей уже установили его. Copay, чей открытый исходный код используется многими крипто-приложениями, является лишь одним из многих приложений, которые используют эту библиотеку, но она поддерживается многомиллионной компанией по обработке Биткоин-платежей BitPay.

Почему BitPay использует up-stream библиотеки?

В пакет NPM с 2,000,000 загрузок в неделю был внедрен вредоносный код. Пока никто не знает, что он делает. https://github.com/dominictarr/event-stream/issues/116 … — @garybernhardt

Теперь мы знаем: его цель — это кража данных с Биткоин-кошелька Copay-dash. — @joepie91

Те, кто не знаком с разработкой с открытым исходным кодом, могут иметь неправильное представление о том, что все это делается бесплатно из-за идеалов или хобби, но это далеко не так. Например, большинство крупных и важных разработок с открытым исходным кодом, таких как работа с Bitcoin Core или работа с Linux Kernel, выполняется разработчиками, которые работают в компаниях, заинтересованных в разработке такого программного обеспечения.

Вы понимаете как много продуктов и сервисов используют его? Проблема не только с BitPay — @brianchoffman

Такие компании, как Red Hat, занимаются разработкой ядра Linux, а компании, такие как Blockstream, используют разработчиков ядра Биткоина. Причина очевидна: они могут просто ждать релизов и полагаться на работу других, но эти компании, по понятным причинам, стремятся к достижению целей в разработке, и, что самое главное, получают большие деньги за развития ядра Linux.

Похоже эта атака была специально направлена на NPM модуль, который используется кошельком Copay. — @ummjackson

Это одна из основных проблем криптовалютных кошельков написанных на JavaSript, у них слишком большая зависимость от NMP модуля. @BitPay доверяет всем up-stream разработчикам, и они никогда не внедрят вредоносное ПО в их кошелек. К сожалению, @dominictarr впустил злоумышлинника. — @ummjackson

Эта модель работает для разработки крупного ПО, и нет причин, по которым она не должна использоваться здесь. По правде говоря, BitPay, не должна использовать программное обеспечение на основе доверия. Люди доверяют ИМ миллионы долларов, а не up-stream разработчикам. Если BitPay не заинтересована в разработке библиотек event-stream, тогда они должны использовать форковые версии, проверяя на безопасность каждое обновление. Вместо этого, как утверждают многие заинтересованные стороны отрасли, они продемонстрировали некомпетентность.

Источнки: CCN

Браузерная платформа для криптовалютного трейдинга
Take Profit, Stop, Loss без заморозки.
6 криптовалютных бирж в 1 окне.
Учебный счет на 100 000 $.
Trailing stop, trailing buy.
Разработанно Expertcoin
Binance запустила тестовую сеть для своей децентрализованной биржи
Binance запустила тестовую сеть для своей децентрализованной биржи
Binance запустила тестовую сеть для своей децентрализованной биржи

Крупная криптовалютная биржа Binance запустила тестовую сеть своей новой децентрализованной биржи Binance DEX. Binance DEX, биржа на основе Binance Chain, новая одноранговая распределенная блокчейн-система, уже доступна для клиентов. Пользователи могут создавать кошельки и обмениваться токенами в тестовой сети Binance DEX. Генеральный директор Binance Чангпенг Чжао пояснил, что новая биржа поможет пользователям восстановить контроль над своими…

Подробнее
Генеральный директор Binance планирует заключить партнерство с Ripple
Генеральный директор Binance планирует заключить партнерство с Ripple
Генеральный директор Binance планирует заключить партнерство с Ripple

Генеральный директор Binance Чангпенг Чжао заявил, что ведущая криптовалютная биржа «определенно» станет партнером Ripple для продвижения платежного решения xRapid на основе XRP. Пока Чангпенг говорит, что обе компании еще не начали обсуждение деталей, и в ближайшем будущем Binance по-прежнему сосредоточена на запуске Binance Chain и ее предстоящей децентрализованной бирже BinanceDEX. «Сейчас мы сосредоточены на запуске…

Подробнее
Ripple заявил, что комиссия xCurrent ниже SWIFT на 90%
Ripple заявил, что комиссия xCurrent ниже SWIFT на 90%
Ripple заявил, что комиссия xCurrent ниже SWIFT на 90%

Управляющий директор Ripple в Южной Азии, на Ближнем Востоке и в Северной Африке утверждает, что решение xCurrent для трансграничных платежей предоставляет банкам и финансовым учреждениям огромную экономию средств по сравнению со Swift. В новом интервью The Asian Banker с Навином Гуптой, Навин сказал, что бразильской трансграничной платежной компании BeeTech удалось устранить комиссию Swift для всех…

Подробнее
SEC ищет данные для исследования «самых широко используемых» блокчейнов
SEC ищет данные для исследования «самых широко используемых» блокчейнов
SEC ищет данные для исследования «самых широко используемых» блокчейнов

Комиссия по ценным бумагам и биржам (SEC) объявила, что она хочет, чтобы экспертные фирмы по блокчейну предоставили им данные об объеме транзакций «самых широко используемых» децентрализованных реестров. По мнению SEC, это необходимо для изучения и «мониторинга рисков и улучшения соблюдения законодательства» в криптовалютном секторе. Агентство установило конкретные требования к информации: легкая читаемость данных, способ сбора…

Подробнее
Обновление Kraken: покупка биржи Crypto facilities, криптовалютные фьючерсы и кредитное плечо 50x
Обновление Kraken: покупка биржи Crypto facilities, криптовалютные фьючерсы и кредитное плечо 50x
Обновление Kraken: покупка биржи Crypto facilities, криптовалютные фьючерсы и кредитное плечо 50x

Kraken теперь предлагает торговлю фьючерсами для торговых пар Bitcoin, Bitcoin Cash, XRP, Litecoin и ETH. Kraken, одна из крупнейших криптовалютных бирж, вчера объявила, что приобрела биржу Crypto Facilities за ошеломляющие 100 миллионов долларов. Это одно из самых значительных приобретений в крипто-пространстве и одно из первых, которое включает в себя запуск торговли фьючерсами. Крипто-фьючерсы — это…

Подробнее
Цена Tron падает, несмотря на успешные продажи BitTorrent и Binance
Цена Tron падает, несмотря на успешные продажи BitTorrent и Binance
Цена Tron падает, несмотря на успешные продажи BitTorrent и Binance

BitTorrent завершает (успешную) продажу криптоактивов на площадке Binance Наконец-то состоялась продажа токенов BitTorrent, поддерживаемых Tron (TRX), на ICO платформе от Binance — Launchpad. Всего несколько недель назад, BitTorrent, всемирно известный одноранговый файлообменный сервис, принадлежащий Джастину Сану и его команде, раскрыла тот факт, что он будет токеннизировать свою платформу в сотрудничестве с Tron. Токен BTT был…

Подробнее
Взлом Local Bitcoins
Взлом Local Bitcoins
Взлом Local Bitcoins

Local Bitcoins заслужили репутацию очень удобного места, где обычные люди могут покупать BTC с помощью своих кредитных карт без участия жадных бирж, которые могут потребовать комиссию. Это форум, на котором мелкие майнеры и ранние ходлеры регулярно публикуют объявления о продаже своего драгоценного цифрового золота. А люди, желающие обменять фиатную валюту на него, считают, что быстрый…

Подробнее
ООН назвала криптовалюту «новым рубежом»
ООН назвала криптовалюту «новым рубежом»
ООН назвала криптовалюту «новым рубежом»

В отчете о глобальной экономике на конец года Организация Объединенных Наций назвала криптовалюту «новым рубежом» в области цифровых финансов. В документе говорится, что криптографические и блокчейн-технологии в целом способны создавать новые и революционные бизнес-модели, которые резко повышают эффективность. Это не первый случай, когда ООН проявляет интерес к цифровым активам. В мае Управление Организации Объединённых Наций…

Подробнее
Владислав Гинько: Россия инвестирует $10 миллиардов долларов в Биткоин и похоронит доллар
Владислав Гинько: Россия инвестирует $10 миллиардов долларов в Биткоин и похоронит доллар
Владислав Гинько: Россия инвестирует $10 миллиардов долларов в Биткоин и похоронит доллар

Российский университетский лектор со связями с правительством говорит, что Кремль скоро начнет массово инвестировать в Биткоин, чтобы избежать новых санкций США, что может произойти «в течение нескольких недель». Россия планирует купить цифровое золото? В разговоре с крипто-ресурсом Micky, Владислав Гинько из Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации считает, что новые…

Подробнее
Атака на блокчейн Ethereum Classic продолжается
Атака на блокчейн Ethereum Classic продолжается
Атака на блокчейн Ethereum Classic продолжается

Криптовалютная биржа Gate.io заявила во вторник, что возместит потери Ethereum Classic стоимостью примерно 200,000 долларов (около 40,000 ETC) после нескольких инцидентов переписывания истории блокчейна, которые до сих пор продолжают происходить. В своем блоге биржа сообщила, что нашла подтверждение атаке 51% и определила три адреса, которые связаны со злоумышленниками. «Цензор Gate.io вначале успешно заблокировал транзакции злоумышленника…

Подробнее