Большое количество биткоин-кошельков BitPay может иметь уязвимость из-за неумелого разработчика или мошенника
Модуль Node.js, который называется поток событий (event-stream), используется в миллионах веб-приложений, включая биткоин-кошелек с открытым кодом в BitPay - Copay, и этот модуль, как сообщается, был скомпрометирован из-за того, что объективно можно назвать социальной инженерией, ленью или некомпетентностью.
Пользователь с очень малой активностью на GitHub сделал запрос на право публикации в библиотеку потока событий от его предыдущего сопровождающего, Доминика Тарра (Dominic Tarr), который сказал, что он не поддерживал репозиторий в течение многих лет и предоставил контроль новому пользователю, под названием right9ctrl.
Библиотека потока событий используется во многих программах Node.js. По мнению жалующегося на GitHub, новый сопровождающий right9ctrl совершил или подлый шаг для внедрения вредоносного программного обеспечения, или действовал бессознательно, но это имело такой же эффект, так как это может привести к утечке приватных ключей программ, которые полагаются как на поток событий, так и на copay-dash модули.
Эйртон Спарлинг (Ayrton Sparling) пишет:
Он добавил поток flatmap-stream, который, во-первых осуществил репо (хранение), но имел 3 версии, в последний удалил действие, не подтвержденное, созданную 3 месяца назад, ориентируясь на добавление ps-tree. После того, как он добавляет flatmap-stream практически в то же время, он нажимает версию и публикует. Затем, через 3 дня после этого он удаляет это действие и настраивает главную версию так, чтобы иметь возможность очистить репозиторий от flatmap-stream, но все еще есть миллионы еженедельных инсталляций, которые видны с помощью 3.x.
Итак, разработчик обновил модуль с вредоносным программным обеспечением, а затем исправил эту проблему, чтобы избежать обнаружения, но многочисленные пользователи, которые его уже установили, все еще находятся в зоне риска. Copay, чей открытый исходный код сам используется многими криптовалютными приложениями, будет лишь одним из многих, которые используют эту библиотеку, но как правило, они используются и поддерживаются известной биткоин-компанией для обработки платежей - BitPay.
Те, кто не входит в сообщество разработчиков с открытым кодом, могут иметь неправильное представление о том, что все это делается бесплатно через идеалы или хобби, что далеко от действительности. Например, большинство важных и мощных программ с открытым кодом, работа над Bitcoin Core или работа с ядром Linux, выполняются разработчиками, которые работают в компаниях, которые имеют долю в разработке такого программного обеспечения и заинтересованы в нем.
Такие компании, как Red Hat, предоставляют код для Linux Kernel, а компании, такие как Blockstream, используют разработчиков Bitcoin Core. Причина очевидна: хотя они могли бы просто ждать релизов и полагаться на работу других, эти компании, по понятным причинам, хотят достичь успеха в развитии, а также, что самое главное, иметь большие деньги при участии в разработке ядра.
Эта модель работает для разработки большого программного обеспечения и нет никаких причин, почему она не может применяться здесь. По правде говоря, BitPay, возможно, не должны использовать программное обеспечение на доверительной основе. На них возлагаются многие с миллионами долларов в клиентских кошельках, а не разработчики-новички. Если BitPay не заинтересована в активной разработке библиотек, таких как поток событий, то они должны использовать forked-версии, проверяя, что каждое обновление является безопасным. Но, как утверждают многие заинтересованных сторон отрасли, они продемонстрировали некомпетентность.
