Il wallet "CoPay" di BitPay è stato compromesso da un malware

Nella giornata di ieri, il sistema di elaborazione di pagamenti crypto BitPay ha emesso un avviso sul suo blog ufficiale per gli utenti del suo wallet open-source per Bitcoin (BTC), che secondo l'annuncio sarebbe stato compromesso da codice dannoso.

La vulnerabilità riguarda un modulo Node.js di terze parti, noto anche come "event stream", che viene utilizzato nelle versioni da 5.0.2 a 5.1.0 delle app BitPay e CoPay della società. Secondo una segnalazione aperta su GitHub, questo modulo sarebbe stato modificato per caricare malware in grado di rubare le chiavi private degli utenti.

Il post dell'azienda sostiene che l'app BitPay non fosse vulnerabile al malware, e che il team di sviluppo sta ora verificando se la vulnerabilità sia stata sfruttata nell'app CoPay.

Nel frattempo, la società ha pubblicato dei consigli per i suoi utenti, affermando che chiunque stesse utilizzando una versione di CoPay dalla 5.0.2 alla 5.1.0, "non dovrebbe eseguire o aprire l'applicazione". BitPay ha rilasciato un aggiornamento per la sicurezza nella versione (5.2.0), che verrà rilasciato a breve sui vari appstore.

La società ha inoltre dichiarato che gli utenti delle versioni interessate "dovrebbero considerare" che le loro chiavi private potrebbero essere state compromesse, e dovrebbero quindi spostare immediatamente i loro fondi sui nuovi wallet 5.2.0:

"Gli utenti non dovrebbero provare a trasferire fondi a nuovi wallet importando le frasi di backup di dodici parole dei wallet interessati (che corrispondono a chiavi private potenzialmente compromesse). Consigliamo invece di aggiornare i wallet interessati (5.0.2-5.1.0) e successivamente inviare tutti i fondi ad un nuovo wallet versione 5.2.0."

Secondo il rapporto sul problema di GitHub, ad un utente poco conosciuto chiamato right9ctrl sono stati concessi i diritti di pubblicazione sulla libreria event-stream (che è usata nel modulo Node.js sull'app Copay) dallo sviluppatore precedente, Dominic Tarr.

In un tweet, il creatore di Dogecoin Jackson Palmer ha dichiarato: "Questo è uno dei problemi principali con i wallet di criptovaluta basati su JavaScript e che utilizzano dependencies up-stream provenienti da NPM [Node.js package manager]. @BitPay si è sostanzialmente fidata del fatto che tutti gli sviluppatori up-stream non abbiano immesso codice dannoso nel loro wallet."