Fundada em maio de 2011 por Tony Gallippi e Stephen Par, a BitPay tem crescido um pouco. Desde então, já anunciou muitos novos serviços e promete mais no futuro próximo.
O módulo do Node.js chamado event-stream, usado em muitos aplicativos da web, foi comprometido. Isso foi relatado pela CCN.
A vulnerabilidade ameaça, em particular, a carteira Copay, do BitPay, que usa este módulo.
De acordo com uma reclamação registrada no GitHub, o desenvolvedor do right9ctrl injetou um código malicioso na biblioteca relevante. Este código é capaz de extrair chaves privadas de aplicativos que usam os módulos event-stream e copay-dash.
Segundo o desenvolvedor Ayrton Sparling, o atacante atualizou o módulo, ativando o código malicioso nele. Em seguida, consertou o problema para evitar sua detecção. Neste contexto, observa Sparling, muitos usuários que baixaram a versão infectada do software correm risco.
A BitPay reconheceu a presença da vulnerabilidade.
Statement on NPM Package Vulnerability in v5.0.2-5.1.0 of Copay Wallets | The BitPay Blog
https://t.co/rrRPnJnq0M— BitPay (@BitPay) 26 de novembro de 2018
O blog da empresa diz que o código malicioso foi introduzido nas versões 5.0.2 a 5.1.0 da carteira Copay, mas não carrega a ameaça para o próprio serviço BitPay.
Representantes da empresa aconselharam que os usuários não executem as versões 5.0.2 a 5.1.0 da Copay. Os desenvolvedores já lançaram uma versão revisada (5.2.0), disponível em lojas de aplicativos.
“Os usuários devem assumir que as chaves privadas nas carteiras afetadas poderiam ter sido comprometidas. Portanto, eles devem imediatamente transferir fundos para novas carteiras (v5.2.0)”, notou o blog do BitPay. “Não tente fazer isso importando a frase de recuperação das carteiras vulneráveis, pois essa frase corresponde a chaves potencialmente comprometidas. Os usuários precisam primeiro atualizar as carteiras vulneráveis (5.0.2-5.1.0). Em seguida, devem transferir todos os fundos delas para uma nova carteira da versão 5.2.0, usando a função Send Max, o que implica a transferência de todos os fundos”.
Ainda neste contexto, vale ressaltar que anteriormente relatamos uma vulnerabilidade na extensão do Chrome para gerenciamento de ativos de Ethereum em carteiras de hardware da Ledger.
Chrys é fundadora e escritora ativa do BTCSoul. Desde que ouviu falar sobre Bitcoin e criptomoedas ela não parou mais de descobrir novidades. Atualmente ela se dedica para trazer o melhor conteúdo sobre as tecnologias disruptivas para o website.
A Exchange baseada em Hong Kong, Bexplus, anunciou seu novo programa de bônus: os primeiros 500 novos usuários a se…
Por mais que depositar no Fundo AMFEIX seja um processo simples, alguns usuários requerem detalhes adicionais sobre como realizar depósitos…
O Torneio Kingdom no bitcoincasino.io permite que você ganhe mais de 320 mBTC ou 640 entradas grátis em toda aposta…
A exchange focada em tokens futuros, ou IOUs, xFutures.io está permitindo uma oportunidade única para os usuários de alguns grupos…
Tópicos Pré venda conduzida em 2017 com bônus de 15% em US$ 27,49 por tokenVenda pública feita em outubro de…
O Polkadot tem sido um tópico constante em círculos de investimento em criptomoedas durante os últimos meses. Apesar disso estar…