Процессинговый сервис BitPay отреагировал на информацию о том, что в разработанном им биткоин-кошельке Copay была обнаружена уязвимость, связанная с изменённой библиотекой Node.js, вредоносный код в которой способен воровать приватные ключи пользователей. В своём блоге компания признаёт, что вредоносный код был интегрирован в версии Copay 5.0.2 – 5.1.0 и некоторые приложения, однако не в сам сервис BitPay.
«Мы продолжаем изучать, была ли эта уязвимость когда-либо использована против пользователей Copay», – добавляет компания.
Пользователям, установившим Copay 5.0.2 – 5.1.0, не следует запускать приложение. Разработчики выпустили исправленную версию Copay 5.2.0 и загрузили её в магазины приложений.
«Пользователям следует исходить из того, что приватные ключи в затронутых кошельках могли быть скомпрометированы, поэтому им следует немедленно переместить средства на новые кошельки (5.2.0), – добавляет компания. – Пользователям не следует пытаться перемещать средства на новые кошельки путём импортирования фразы для восстановления доступа от уязвимых кошельков, поскольку она соответствует потенциально скомпрометированному ключу. Пользователям следует сначала обновить уязвимые кошельки (5.0.2 – 5.1.0), а затем переместить все средства с них на совершенно новые кошельки версии 5.2.0, используя функцию “Send Max”, чтобы инициировать перевод всех средств».
Недавно кошелёк BTC.com интегрировал используемый BitPay протокол BIP-70, который также, согласно некоторым данным, может содержать уязвимость.
