Carteira Copay da BitPay comprometida por código mal-intencionado e empresa emite recomendações a usuários

A BitPay publicou no seu blog oficial ontem, 26 de novembro, um processador de pagamento cripto para os usuários de sua carteira de código aberto Bitcoin (BTC) Copay, que teria sido comprometida por códigos maliciosos.

A vulnerabilidade pertence a um módulo Node.js de terceiros, também conhecido como "fluxo de eventos", usado nas versões 5.0.2 a 5.1.0 dos aplicativos BitPay e Copay da BitPay. De acordo com um relatório de problemas no GitHub, este módulo foi modificado para carregar malwares capazes de roubar chaves privadas dos usuários.

A postagem da BitPay afirma que o aplicativo BitPay não era vulnerável ao código malicioso, mas que sua equipe está investigando se a vulnerabilidade foi explorada contra qualquer usuário da CoPay.

Enquanto isso, a empresa delineou conselhos para seus usuários, afirmando que qualquer um usando a versão do Copay de 5.0.2 para 5.1.0, “não deve rodar ou abrir o aplicativo”. A empresa lançou uma atualização de segurança na versão (5.2. 0), que é devido para lançamento iminente em lojas de aplicativos.

A empresa também adverte que os usuários de versões afetadas “devem presumir” que suas chaves privadas podem ter sido comprometidas e, portanto, transferem as participações para novas e seguras carteiras v5.2.0 “imediatamente”:

“Os usuários não devem tentar transferir fundos para novas carteiras importando as frases de backup de doze palavras das carteiras afetadas (que correspondem a chaves privadas potencialmente comprometidas). Os usuários devem primeiro atualizar suas carteiras afetadas (5.0.2-5.1.0) e depois enviar todos os fundos das carteiras afetadas para uma nova carteira na versão 5.2.0, usando o recurso Enviar Max para iniciar transações de todos os fundos.”

De acordo com o relatório de problemas do GitHub, um usuário pouco conhecido chamado right9ctrl solicitou e recebeu direitos de publicação da biblioteca de fluxo de eventos (que é usada no módulo Node.js no aplicativo Copay) de seu mantenedor anterior, Dominic Tarr, que admitiu que não estava mais mantendo o repositório e não suspeitou do novo usuário do malintent.

Em resposta às notícias, o criador do Dogecoin, Jackson Palmer, tuitou ontem sua preocupação de que “este é um dos principais problemas com as carteiras de criptomoedas baseadas em JavaScript, com pesadas dependências vindas do NPM [gerenciador de pacotes Node.js]. A @BitPay essencialmente confiava em todos os desenvolvedores de upstream para nunca injetar códigos maliciosos em suas carteiras ”- nem para“ permitir que um atacante ”inadvertidamente.

No início deste outono, o Bitcoin Core divulgou uma atualização após a detecção de uma vulnerabilidade em seu software, um bug que o co-proprietário da Bitcoin.org descreveu como "muito assustador", com o potencial de ter "colidido uma grande parte da rede Bitcoin" se explorada por qualquer minerador desonesto ”.