[et_pb_section bb_built=”1″][et_pb_row][et_pb_column type=”4_4″][et_pb_text _builder_version=”3.17.6″]
O código das aplicações de pagamento Bitpay e Copay se viu alterado desde a versão 5.0.2 a 5.1.0 com linhas de código que abriam um backdoor, através da qual um atacante podia apropriar-se das sementes de um moedeiro.
Não se reportam vítimas do vetor de ataque. Não obstante, o fato de que esta vulnerabilidade tem sido introduzida no código de um repositório de tal importância em GitHub, põe sobre o tapete os baixos níveis de segurança com os quais se gerencia o desenvolvimento destas aplicações.
Conforme se pôde ler em Github, o atacante – identificado como @right9ctrl– conseguiu introduzir um código malicioso num módulo de NodeJS, onde se localiza a biblioteca usada por Copay e Bitpay. Esta é uma biblioteca pública, cujo principal responsável reconheceu que simplesmente deu acesso ao hacker alegando que não recebe incentivos por esse labor.
“Ele me enviou um correio eletrônico e disse que queria manter o módulo, então eu dei a ele. Não obtenho nada de manter este módulo e nem uso mais, nem o fiz há anos”, escreveu o usuário @dominictarr na discussão sobre o fato, que começou no passado 20 de novembro no GitHub.
De acordo com um comunicado publicado pela empresa, a versão 5.2.0 do moedeiro é segura. No entanto, recomendam que os usuários, após atualizar a aplicação, enviem todos os seus fundos a uma nova carteira criada com o software corregido. Isto devido ás sementes das versões anteriores poderiam ser comprometidas.
Na atualização do moedeiro eventualmente estará disponível nas lojas de aplicações correspondentes ao sistema operativo dos telefones móveis.
[/et_pb_text][et_pb_testimonial _builder_version=”3.17.6″ author=”Bitpay” portrait_url=”https://criptonoticias.com.br/wp-content/uploads/2018/11/bitpay.png” background_color=”#7cda24″ quote_icon_background_color=”#f5f5f5″]
Os usuários não devem tentar mover fundos a novas carteiras importando as frases do respaldo de doze palavras das carteiras afetadas (que correspondem a chaves privadas potencialmente comprometidas). Os usuários primeiro devem atualizar suas carteiras afetadas (5.0.2-5.1.0) e logo enviar todos os fundos das carteiras afetadas a uma nova carteira na versão 5.2.0, utilizando a função “Enviar Máx.” Para começar transações da totalidade dos fundos.
[/et_pb_testimonial][et_pb_text _builder_version=”3.17.6″]
De acordo com Rubem Somsen, outros moedeiros construídos com este software como base poderiam ser afetados; como no caso do moedeiro de bitcoin cash (BCH) criado por Bitcoin.com. “Nota aos usuários de BCH, o moedeiro de Bitcoin [.] com é uma bifurcação do moedeiro de Copay e também poderia ver-se afetado”, salientou através de sua conta no Twitter. Embora, por meio da mesma rede social, Bitcoin.com esclareceu que sua versão do moedeiro não sofria dessa vulnerabilidade.
Imagem destacada por: PR Image Factory / stock.adobe.com
Traduzido de: CriptoNoticias
[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]