Велика кількість біткойн-гаманців BitPay може мати вразливість через невмілого розробника чи шахрая


Published on 27 Nov. 2018
Work 731198 1280

Модуль Node.js, який називається потік подій (event-stream), використовується в мільйонах веб-додатків, включаючи біткойн-гаманець з відкритим кодом у BitPay - Copay, і цей модуль, як повідомляється, був скомпрометований через те, що об'єктивно можна назвати соціальною інженерією, лінню або некомпетентністю.

Користувач з дуже малою активністю на GitHub запросив права публікації в бібліотеку потоку подій від його попереднього супроводжуючого, Домініка Тарра (Dominic Tarr), який сказав, що він не підтримував репозиторій протягом багатьох років і надав контроль новому користувачеві, під назвою right9ctrl.

Бібліотека потоку подій використовується у багатьох програмах Node.js. На думку скаржника на GitHub, новий супровідник right9ctrl здійснив або ж підлий крок для впровадження шкідливого програмного забезпечення або діяв несвідомо, але це мало такий же ефект, тому що це може призвести до витоку приватних ключів програм, які покладаються як на потік подій, так і на copay-dash модулі.

Ейртон Спарлінг (Ayrton Sparling) пише:

Він додав потік flatmap-stream, який, по-перше здійснив репо(зберігання), але мав 3 версії, в останній видалив дію, не підтверджену, створену 3 місяці тому, орієнтуючись на додавання ps-tree. Після того, як він додає flatmap-stream практично в той же час, він натискає версію та публікує. Потім, через 3 дні після цього він видаляє цю дію і налаштовує головну версію так, щоб мати змогу очистити репозиторій від flatmap-stream, але все ще є мільйони щотижневих інсталяцій, які видно за допомогою 3.x.

Отже,  розробник оновив модуль із шкідливим програмним забезпеченням, а потім виправив цю проблему, щоб уникнути виявлення, але численні користувачі, які його вже встановили, все ще знаходяться в зоні ризику. Copay, чий відкритий вихідний код сам використовується багатьма криптовалютними додатками, буде лише одним із багатьох, які використовують цю бібліотеку, але як правило, він використовується та підтримується відомою біткойн-компанією для обробки платежів - BitPay.

Ті, хто не входить до спільноти розробників з відкритим кодом, можуть мати неправильне уявлення про те, що все це робиться безкоштовно через ідеали чи хоббі, що далеко від дійсності. Наприклад, більшість важливих і потужних програм з відкритим кодом,  робота над Bitcoin Core або робота з ядром Linux, виконуються розробниками, які працюють у компаніях, які мають частку в розробці такого програмного забезпечення та зацікавлені в ньому.

Такі компанії, як Red Hat, надають код для Linux Kernel, а компанії, такі як Blockstream, використовують розробників Bitcoin Core. Причина очевидна: хоча вони могли б просто чекати релізів та покладатися на роботу інших, ці компанії, зі зрозумілих причин, мають на меті досягти успіху у розвитку, а також, що найголовніше, мають великі гроші при участі в розробці ядра.

Ця модель працює для розробки великого програмного забезпечення і немає жодних причин, чому вона не може застосовуватися тут. Правду кажучи, BitPay, можливо, не повинно використовувати програмне забезпечення на довірчій основі. На них покладаються чимало людей з мільйонами доларів на клієнтських гаманцях, а не розробники-початківці. Якщо BitPay не зацікавлена в активній розробці бібліотек, таких як потік подій, то вони повинні використовувати forked-версії, перевіряючи, що кожне оновлення є безпечним. Натомість, як стверджують багато зацікавлених сторін галузі, вони продемонстрували некомпетентність.


More news

G20 погоджується регулювати криптовалютний простір - це добре чи погано для ринку?


Форум “Великої двадцятки” (G20), який складається з групи міністрів фінансів та керівників центральних банків з ЄС та найбільших країн світу, прийняв рішення регулювати криптовалютний сектор.

04 Dec. 2018

Скандал навколо відмивання коштів через Deutsche Bank демонструє убогість подібних спроб з використанням криптовалют


У найбільшій німецькій фінансовій установі Deutsche Bank зі штаб-квартирою у Франкфурті за ініціативою місцевих органів влади відбулися перевірки на підставі підозри у відмиванні грошей.

03 Dec. 2018

British Petroleum та Shell запустили блокчейн-платформу для торгівлі нафтою


Почала працювати торгова блокчейн-платформа, яка зможе допомогти нафтовим компаніям та торговельним компаніям значно скоротити витрати.

30 Nov. 2018