Множество биткоин-кошельков может находиться в зоне риска из-за уязвимости Node.js
-
Модуль Node.js под названием “event-stream”, используемый миллионами веб-приложений, в том числе биткоин-кошельком Copay, предположительно, был взломан, сообщает CCN.
Пользователь GitHub, проявлявший мало активности на портале, запросил права на публикацию в библиотеке “event-stream” у её предыдущего модератора Доминика Тарра, который заявил, что не занимается ею на протяжении нескольких лет и передал управление пользователю под ником right9ctrl.
Согласно жалобе на GitHub, новый модератор внедрил в библиотеку вредоносный код, позволяющий экспортировать приватные ключи из приложений, использующих модули “event-stream” и “copay-dash”.
Разработчик Айртон Спарлинг объясняет: «Он добавил “flatmap-stream” (1 обновление с тремя версиями, последняя удаляет элемент), который является элементом, нацеленным на ps-tree. После этого почти в то же самое время он публикует новую версию. Через 3 дня вышла другая версия без вредоносного элемента, что позволило ему очистить репозиторий от присутствия “flatmap-stream”, но при этом все версии 3.x (миллионы установок за неделю) остаются в зоне риска».
Другими словами, разработчик внедрил в модуль вредоносный элемент, а затем исправил проблему, чтобы избежать обнаружения, однако пользователи, успевшие скачать заражённую версию, всё ещё могут пострадать. Код Copay, написанный многомиллионной процессинговой компанией BitPay, используется во множестве сторонних криптовалютных приложений, что само по себе даёт основания для новых вопрос.
Создатель Dogecoin Джексон Палмер так прокомментировал сложившуюся ситуацию: «Это одна из основных проблем криптовалютных кошельков на базе JavaScript, в значительной степени полагающихся на менеджер пакетов NPM. BitPay, по сути, доверились тому, что во всю стриминговую разработку и их кошелёк никогда не будет добавлен вредоносный элемент. Доминик Тарр, к сожалению, тоже позволил злоумышленнику получить доступ».
-
что еще раз говорит о том, что абсолютно надежных кошельков нет, все можно взломать, было бы желание.
-
Участник @ivan-ivanov написал в Множество биткоин-кошельков может находиться в зоне риска из-за уязвимости Node.js:
что еще раз говорит о том, что абсолютно надежных кошельков нет, все можно взломать, было бы желание.
Это говорит о том что открытый софт контролировать кто то должен.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
Это говорит о том, что настоящая свобода губительна для человека. Человеческое стадо всё ещё нуждается в пастухах. Иначе оно уничтожит само себя.
-
Участник @cryptomax написал в Множество биткоин-кошельков может находиться в зоне риска из-за уязвимости Node.js:
Это говорит о том, что настоящая свобода губительна для человека. Человеческое стадо всё ещё нуждается в пастухах. Иначе оно уничтожит само себя.
Это значит что человек по себе натура бурная. среди тысячи добрых найдется один злой, который идет против системы.
-
@casio в открытом софте не только уязвимости находят и пользуются ими, но и помогают улучшить софт и даже помогают с багами.
-
Участник @ivan-ivanov написал в Множество биткоин-кошельков может находиться в зоне риска из-за уязвимости Node.js:
@casio в открытом софте не только уязвимости находят и пользуются ими, но и помогают улучшить софт и даже помогают с багами.
Но часто из за глупости их авторов кто то свои добавочки вставляет в него.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio бывает такое, но от хакеров никто не застрахован. ломают даже закрытый софт.
-
Участник @ivan-ivanov написал в Множество биткоин-кошельков может находиться в зоне риска из-за уязвимости Node.js:
@casio бывает такое, но от хакеров никто не застрахован. ломают даже закрытый софт.
хранилища такого софта еще не кто не ломал. Часто пароль получали просто и вперед...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@cryptomax Ну или у этого стада должен быть хороший вожак хотя-бы.
-
@casio какая разница - важен результат. а сколько уязвимостей нашли и устранили благодаря открытому коду? наверное, тоже немало.
-
Участник @ivan-ivanov написал в Множество биткоин-кошельков может находиться в зоне риска из-за уязвимости Node.js:
@casio какая разница - важен результат. а сколько уязвимостей нашли и устранили благодаря открытому коду? наверное, тоже немало.
Ну если софт был бы закрытый , то может и не нашли бы их хакеры до сих пор.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio можно предполагать разное, но мы знаем, что софт ломают любой - и закрытый и открытый.
-
Софт не ломают. Просто если его использовать не верно, то можно получить нужные результаты.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio я подразумеваю, что используют его уязвимости. думал, что вам это и так понятно.
