BitPay 旗下開源 Copay 錢包被爆存在安全漏洞事件分析_BIT

事件回顧：

9月9日，每周200萬下載量的「event-stream」NodeJS模塊中，一個正常的「flatmap-stream」被合并到代碼庫；10月5日，「flatmap-steam」代碼被更新，并夾帶了經過混淆的惡意代碼。代碼審查人員沒有仔細檢驗，就將其合并到代碼庫。11月26日，加州大學生發現BitPay的Copay錢包使用的「event-stream」中的混淆惡意代碼會在該環境被觸發，從而盜取錢包中的比特幣。這個攻擊手段，和2010年專門用于針對伊朗核電站的Stuxnet病可謂異曲同工。Stuxnet會使特定的西門子PLC控制芯片觸發，進而可以引發核電站爆炸等嚴重后果。

用戶對Upbit運營商Dunamu提起集體訴訟，因Upbit技術故障導致近54萬美元損失:據媒體Chosun Biz報道，韓國加密貨幣交易所Upbit的11名用戶對其運營商Dunamu Inc.提起集體訴訟，要求賠償疑似因技術故障導致的資金損失。11名原告稱，在將加密貨幣從自己的電子錢包轉移到Upbit的電子錢包后，卻發現Upbit未能成功處理交易，造成了約53.8萬美元的損失。Upbit承認轉賬已經完成，但由于技術問題，轉賬資金在其平臺上未可見。報道稱，Upbit被認為是韓國安全、穩定的平臺之一，也是少數幾家有望在9月合規截止日期之前達到該國針對加密貨幣交易所嚴格標準的交易所之一。如果銀行認為Upbit的平臺不夠可靠，這起訴訟可能會危及其繼續運營的能力。注：Upbit是韓國最大的加密貨幣交易所之一，擁有約300萬用戶，平均每周活躍用戶90萬。（Forkast）[2021/6/3 23:08:53]

BitPay官方通告稱，使用Copay錢包versions5.0.2到5.1.0的用戶受到了后門影響，使用這些版本的用戶應該假定他們的私鑰已經被竊取了，需要盡快升級到5.2.0版本。

BITUAN幣團主流幣行情：BTC 24小時漲0.41%:BITUAN幣團交易所官方行情數據，截至8月31日15:00：BTC 24小時漲0.41%，報11663.56 USDT；ETH 24小時漲1.39%，報422.79 USDT；EOS 24小時漲1.13%，報3.2552 USDT；BCH 24小時漲0.67%，報277.78 USDT；BSV 24小時漲0.36%，報195.7646 USDT；LTC 24小時漲1.09%，報61.96 USDT；XRP 24小時漲0.23%，報0.28228 USDT；ETC 24小時漲2.11%，報6.6700 USDT。[2020/8/31]

開源代碼被埋雷，盜竊比特幣的惡意代碼居然在群眾雪亮的眼睛下，從10月份隱藏至今！

BitFlyer稱將提供歐元計價的比特幣:日本數字貨幣交易所BitFlyer宣布，將提供歐元計價的BTC，并計劃在未來幾個月內增加對其他數字貨幣的支持，如LTC和ETH。此前，BitFlyer已經獲得歐洲支付牌照（Payment Institutions），成為首個獲得PI的比特幣交易平臺。[2018/1/24]

對此，前FireEye資深工程師、AnChain.ai架構師RichardLai博士評論到：這是開源存在的問題，維護代碼的人必須是值得信賴的。

這是AnChain.ai區塊鏈三大永恒主題中「代碼安全」的一個真實案例。隨著代碼日益復雜，開源社區也有疏忽之時。

AnChain.ai團隊一直奮戰在區塊鏈安全第一線：從8月份曝光以太坊BAPT-FOMO3D黑客軍團，到11月份幫助世界排名前5的EOSDApp設計安全架構重新安全上線，我們監測到針對交易所、DApp項目方的攻擊越來越多。區塊鏈安全三大永恒主題：交易、代碼、基建，只有全面防護才是安全王道。

本文來源于非小號媒體平臺：

AnChainAI

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627080.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

新研究表明比特幣51%攻擊是「不現實」的

下一篇：

鏈聞首爆OKEx遭遇眾機構投訴，該消息已登上百度熱搜

Tags：BITUpbitUPBUSDbitpie客服upbit交易所公告upbit下載USDN幣

Polygon