Велика кількість біткойн-гаманців BitPay може мати вразливість через невмілого розробника чи шахрая


Published on 27 Nov. 2018
Work 731198 1280

Модуль Node.js, який називається потік подій (event-stream), використовується в мільйонах веб-додатків, включаючи біткойн-гаманець з відкритим кодом у BitPay - Copay, і цей модуль, як повідомляється, був скомпрометований через те, що об'єктивно можна назвати соціальною інженерією, лінню або некомпетентністю.

Користувач з дуже малою активністю на GitHub запросив права публікації в бібліотеку потоку подій від його попереднього супроводжуючого, Домініка Тарра (Dominic Tarr), який сказав, що він не підтримував репозиторій протягом багатьох років і надав контроль новому користувачеві, під назвою right9ctrl.

Бібліотека потоку подій використовується у багатьох програмах Node.js. На думку скаржника на GitHub, новий супровідник right9ctrl здійснив або ж підлий крок для впровадження шкідливого програмного забезпечення або діяв несвідомо, але це мало такий же ефект, тому що це може призвести до витоку приватних ключів програм, які покладаються як на потік подій, так і на copay-dash модулі.

Ейртон Спарлінг (Ayrton Sparling) пише:

Він додав потік flatmap-stream, який, по-перше здійснив репо(зберігання), але мав 3 версії, в останній видалив дію, не підтверджену, створену 3 місяці тому, орієнтуючись на додавання ps-tree. Після того, як він додає flatmap-stream практично в той же час, він натискає версію та публікує. Потім, через 3 дні після цього він видаляє цю дію і налаштовує головну версію так, щоб мати змогу очистити репозиторій від flatmap-stream, але все ще є мільйони щотижневих інсталяцій, які видно за допомогою 3.x.

Отже,  розробник оновив модуль із шкідливим програмним забезпеченням, а потім виправив цю проблему, щоб уникнути виявлення, але численні користувачі, які його вже встановили, все ще знаходяться в зоні ризику. Copay, чий відкритий вихідний код сам використовується багатьма криптовалютними додатками, буде лише одним із багатьох, які використовують цю бібліотеку, але як правило, він використовується та підтримується відомою біткойн-компанією для обробки платежів - BitPay.

Ті, хто не входить до спільноти розробників з відкритим кодом, можуть мати неправильне уявлення про те, що все це робиться безкоштовно через ідеали чи хоббі, що далеко від дійсності. Наприклад, більшість важливих і потужних програм з відкритим кодом,  робота над Bitcoin Core або робота з ядром Linux, виконуються розробниками, які працюють у компаніях, які мають частку в розробці такого програмного забезпечення та зацікавлені в ньому.

Такі компанії, як Red Hat, надають код для Linux Kernel, а компанії, такі як Blockstream, використовують розробників Bitcoin Core. Причина очевидна: хоча вони могли б просто чекати релізів та покладатися на роботу інших, ці компанії, зі зрозумілих причин, мають на меті досягти успіху у розвитку, а також, що найголовніше, мають великі гроші при участі в розробці ядра.

Ця модель працює для розробки великого програмного забезпечення і немає жодних причин, чому вона не може застосовуватися тут. Правду кажучи, BitPay, можливо, не повинно використовувати програмне забезпечення на довірчій основі. На них покладаються чимало людей з мільйонами доларів на клієнтських гаманцях, а не розробники-початківці. Якщо BitPay не зацікавлена в активній розробці бібліотек, таких як потік подій, то вони повинні використовувати forked-версії, перевіряючи, що кожне оновлення є безпечним. Натомість, як стверджують багато зацікавлених сторін галузі, вони продемонстрували некомпетентність.


More news

FSA Японії перевіряє криптовалютні біржі Huobi і Fisco


Японський регулятор здійснив рейд на дві біржі для перевірки їх внутрішнього контролю та захисту прав споживачів.

24 Apr. 2019

Rakuten наближається до відкриття власної криптовалютної біржі


Японський інтернет-гігант наближається до запуску власної біржі цифрових активів, та запрошує трейдерів для реєстрації.

17 Apr. 2019

Криптовалютна біржа QuadrigaCX має оголосити про банкрутство - звіт E&Y


Закрита криптовалютна біржа QuadrigaCX може бути зобов’язана оголосити про банкрутство, щоб дати кредиторам найкраще рішення для відновлення активів.

03 Apr. 2019