Un depozitor de cod de pe GitHub denumit event-stream a fost infectat cu malware, iar portofelele Bitcoin ce folosesc acest cod pot fi compromise. Printre cele mai importante victime se numără portofelul open-source Copay furnizat de BitPay.
Problema a fost descoperită după ce un utilizator cu activitate limitată de codificare pe Github a solicitat drepturi de publicare la biblioteca event-stream de la managerul său anterior, Dominic Tarr.
Noul utilizator, right9ctrl, a injectat apoi malware în cod. Nu este clar dacă această acțiune a fost a fost intenționată sau incompetentă. Cu toate acestea, malware-ul a fost adăugat la cod și poate duce la sustragerea cheilor private de la aplicațiile care utilizează modulele de event-stream. Malware-ul vizează în mod specific portofelele bitcoin.
După trei zile, dezvoltatorul a actualizat modulul cu un patch pentru a evita detectarea, dar numeroasele persoane care au instalat versiunea infectată rămân afectate.
Atacul a afectat Copay și alte portofele mari de bitcoin. Codul open source al lui Copay este folosit și de multe alte aplicații cripto, deci are potențialul de a afecta mult mai mult decât portofelele bitcoin.
Există posibilitatea ca BitPay, una dintre cele mai mari companii de prelucrare a plăților cripto din lume, să fi fost, de asemenea, afectată de acest incident.
Portofelul Copay al Bitpay este compromis
Portofelul Copay – al cărui cod open source este folosit de multe aplicații cripto – este doar unul dintre numeroasele portofele care utilizează biblioteca.
Problema este că portofelul este construit și întreținut de o companie de procesare a plăților – BitPay.
În teorie, BitPay nu ar trebui să folosească software pe bază de încredere. Companiei le sunt încredințate milioane de dolari din portofelele clienților. Dacă BitPay nu este interesat să dezvolte în mod activ biblioteci precum event-stream, atunci ar trebui să folosească versiuni forked, verificând că fiecare actualizare este sigură. În schimb, așa cum au afirmat mulți actori din industrie, au demonstrat incompetență.
Acest ultim bug ar putea schimba modul în care companiile cripto folosesc software open source. Acestea procesează milioane de dolari ale clienților, în baza unor platforme open source. Uneori, acesta este cel mai bun mod de a face afaceri. În alte cazuri, ca acesta, expune companiile majore la o vulnerabilitate gravă.
Problema nu este cu dezvoltatorii de cod. Majoritatea au intenții bune, iar bibliotecile de cod precum GitHub permit o evoluție rapidă a tehnologiei prin colaborare.
Problema este cu companiile de software care folosesc software-ul open-source. Dacă nu implementează procese de verificare complexe, ele pot fi afectate de astfel de incidente. Economia realizată prin utilizarea bibliotecilor publice nu este suficientă pentru a justifica compromiterea banilor clienților.
O solutie ar fi utilizarea platformei Cryptocoin.pro, o platforma din Romania si licentiata.