こんにちは、BCHNews編集部のきなこです。

BitPayが提供するCopayウォレットの特定バージョンに脆弱性があることが公式ブログから発表されました。

本投稿ではそのブログの内容と、脆弱性についてをご紹介いたします。

対象

脆弱性が見られたのは以下のアプリです。

• BitPay
• Copay

両アプリとも、バージョン5.0.2からバージョン5.1.0が対象になります。

上記のアプリケーションで、ユーザーの秘密鍵を取得するために使用される可能性がある悪質なコードを読み込むような変更がされていました。

BitPayではこの脆弱性が悪用されたかどうかを調査中です。

対象のアプリバージョンで管理していたウォレットは、秘密鍵が流出している可能性があるため、新しいバージョンのウォレットに移すことを推奨してます。

アプリをバージョン5.2.0以降にアップグレードした後、新しいウィレットを作成し、旧ウォレットから送金することで対応してほしいとのことです。

発見された脆弱性

この脆弱性は「イベントストリーム」として知られている、サードパーティのNode.jsモジュールで発見されました。

GitHubのissue reportによると、このモジュールは、ユーザーの秘密鍵を盗むことができるマルウェアを読み込むような変更がされていたようです。

この変更は、right9ctrlという人物によってリクエストされたもので、コードは難読化されており、一見して読むことが難しいものでした。

コードの概要は以下になります。

• ホットウォレット（ブラウザやモバイルで動作するもの）を探すために書かれた。
• 残高が100 BTCもしくは1000 BCH以上のウォレットを対象としている。
• ウォレットのパスワードを取得した後、クアラルンプールのサーバーに資金が送金された。

現在は、新しいリリースによってこの脆弱性は解消されています。

この悪意のある変更に対して、開発者フォーラムでは今後の開発者ワークフローやオープンソースリリースアーキテクチャの変更についての多くの議論が行われています。

さいごに

BitPayから発表されたウォレットの脆弱性について紹介いたしました。

対象のアプリを利用していませんか？早急にアップグレードして資金を安全なウォレットに移動させましょう。

最新情報はこちら

BCHNewsでは公式のTwitterアカウント（@bchnews_jp）を開設しました。
更新情報を配信しておりますので、よろしければフォローしていただけると嬉しいです。