Copayウォレットの特定バージョンに脆弱性、オープンソースライブラリに悪意あるコードがコミットされた疑い

2018.12.06

きなこ

こんにちは、BCHNews編集部のきなこです。

BitPayが提供するCopayウォレットの特定バージョンに脆弱性があることが公式ブログから発表されました。

本投稿ではそのブログの内容と、脆弱性についてをご紹介いたします。

対象

脆弱性が見られたのは以下のアプリです。

両アプリとも、バージョン5.0.2からバージョン5.1.0が対象になります。

上記のアプリケーションで、ユーザーの秘密鍵を取得するために使用される可能性がある悪質なコードを読み込むような変更がされていました。

BitPayではこの脆弱性が悪用されたかどうかを調査中です。

対象のアプリバージョンで管理していたウォレットは、秘密鍵が流出している可能性があるため、新しいバージョンのウォレットに移すことを推奨してます。

アプリをバージョン5.2.0以降にアップグレードした後、新しいウィレットを作成し、旧ウォレットから送金することで対応してほしいとのことです。

 

発見された脆弱性

この脆弱性は「イベントストリーム」として知られている、サードパーティのNode.jsモジュールで発見されました。

GitHubのissue reportによると、このモジュールは、ユーザーの秘密鍵を盗むことができるマルウェアを読み込むような変更がされていたようです。

この変更は、right9ctrlという人物によってリクエストされたもので、コードは難読化されており、一見して読むことが難しいものでした。

コードの概要は以下になります。

  • ホットウォレット(ブラウザやモバイルで動作するもの)を探すために書かれた。
  • 残高が100 BTCもしくは1000 BCH以上のウォレットを対象としている。
  • ウォレットのパスワードを取得した後、クアラルンプールのサーバーに資金が送金された。

現在は、新しいリリースによってこの脆弱性は解消されています。

この悪意のある変更に対して、開発者フォーラムでは今後の開発者ワークフローやオープンソースリリースアーキテクチャの変更についての多くの議論が行われています。

さいごに

BitPayから発表されたウォレットの脆弱性について紹介いたしました。

対象のアプリを利用していませんか?早急にアップグレードして資金を安全なウォレットに移動させましょう。

最新情報はこちら

BCHNewsでは公式のTwitterアカウント(@bchnews_jp)を開設しました。
更新情報を配信しておりますので、よろしければフォローしていただけると嬉しいです。

きなこ

BCHN編集部の一人です!
読みやすく、分かりやすい記事をお届けできるよう頑張ります!
今はまっている食べ物はキムチ鍋?

関連記事

OneGold – Bitcoin Cashでデジタル地金を購入できるサービス

2018.12.26

by BCHNews編集部

BCHとBTCをアトミックスワップすることの出来るOpenSwap v0.1がリリース

2018.12.28

by BCHNews編集部

AtomicPay – 数種類の暗号通貨に対応したペイメントゲートウェイサービスのご紹介

2018.12.17

by rei

日の丸リムジンで暗号通貨決済が採用される

2018.11.16

by きなこ