Один из ведущих процессинговых сервисов BitPay, который предоставляет своим клиентам возможность принимать оплату в криптовалюте, сообщил об уязвимости в своем кошельке Copay.
Уязвимость в безопасности кошелька Copay связана с измененной библиотекой Node.js внутри которой был внедрен вредоносный код, занимающийся кражей приватных ключей клиентов из приложений, которые используют модули event-stream и copay-dash.
В сообщении, опубликованном в официальном блоге компании, говорится, что данный код был интегрирован в версии кошелька Copay 5.0.2 – 5.1.0, а также он был встроен в некоторые приложения, но не в сам сервис BitPay. На данный момент компания ведет расследование на предмет того, успела ли уязвимость навредить клиентам криптокошелька.
Statement on NPM Package Vulnerability in v5.0.2-5.1.0 of Copay Wallets | The BitPay Blog
https://t.co/rrRPnJnq0M— BitPay (@BitPay) November 26, 2018
BitPay также порекомендовали пользователям, которые установили Copay 5.0.2 – 5.1.0, не запускать данную версию приложения. На данный момент доступна новая версия, Copay 5.2.0, которая устраняет уязвимость в коде кошелька.
Клиентам сервиса следует учитывать, что приватные ключи могли быть украдены, поэтому им необходимо переместить свои средства на новые кошельки версии Copay 5.2.0. Как утверждает компания, пользователям необходимо сначала обновить уязвимые кошельки версии 5.0.2 – 5.1.0 и лишь затем переводить все средства с них на абсолютно новые кошельки версии 5.2.0. Для перевода следует использовать функцию “Send Max”.
«Не нужно пытаться делать это посредством импортирования фразы восстановления из подверженных уязвимости кошельков, поскольку эта фраза соответствует потенциально скомпрометированным ключам», – предупреждает BitPay в своем блоге.
Стоит отметить, что ранее уязвимость также была найдена в работе сети Monero, которая была связана с функциональностью программного обеспечения криптовалютного кошелька.
