BIT:BitPay 旗下開源 Copay 錢包被爆存在安全漏洞事件分析

事件回顧：

9月9日，每周200萬下載量的「event-stream」NodeJS模塊中，一個正常的「flatmap-stream」被合并到代碼庫；10月5日，「flatmap-steam」代碼被更新，并夾帶了經過混淆的惡意代碼。代碼審查人員沒有仔細檢驗，就將其合并到代碼庫。11月26日，加州大學生發現BitPay的Copay錢包使用的「event-stream」中的混淆惡意代碼會在該環境被觸發，從而盜取錢包中的比特幣。這個攻擊手段，和2010年專門用于針對伊朗核電站的Stuxnet病可謂異曲同工。Stuxnet會使特定的西門子PLC控制芯片觸發，進而可以引發核電站爆炸等嚴重后果。

Upbit超過Binance成為CYBER第一大持有者，共持有360萬枚CYBER:金色財經報道，據0xScope Protocol監測，自CYBER 8月22日上市以來，韓國投資者可能對CYBER的上漲做出了重大貢獻，韓國加密交易所Upbit超過Binance已成為CYBER代幣的第一大持有者，共持有360萬枚CYBER（占代幣流通供應量的33%）。[2023/8/31 13:08:39]

BitPay官方通告稱，使用Copay錢包versions5.0.2到5.1.0的用戶受到了后門影響，使用這些版本的用戶應該假定他們的私鑰已經被竊取了，需要盡快升級到5.2.0版本。

BitMEX CEO：只要得到強大社區的支持，分叉就會很好:金色財經報道，加密貨幣交易所BitMEX的首席執行官Alexander H?ptner在接受采訪時分享了他們的交易平臺如何為合并做準備，談到了在過渡到PoS后機構采用的潛力，并給出了他的想法BTC和ETH。?根據H?ptner的說法，除了在大型活動之前檢查公司標準準備工作的所有框外，最重要的是密切關注可能發生的事情并確保他們的服務正常運行。必須保持清醒，看看會發生什么，存在高波動性的機會。因此，必須確保您的服務正常運行。我們預計不會出現波動之外的任何重大干擾。

當被問及潛在的PoW分叉時，BitMEX高管評論說，只要得到強大社區的支持，分叉就會很好。H?ptner強調，分叉的一個主要風險是沒有足夠的礦工支持。這位高管還指出，大型金融參與者已經涉足加密領域，主要是 BTC 和 ETH。H?ptner 表示，許多機構已經提議在投資組合中使用 1% 到 2% 的加密貨幣，他相信這將進一步增加。[2022/9/10 13:21:21]

開源代碼被埋雷，盜竊比特幣的惡意代碼居然在群眾雪亮的眼睛下，從10月份隱藏至今！

安全團隊：Raibbit Hole的Discord服務器遭入侵:7月22日消息，據CertiK監測，Raibbit Hole項目服務器已被入侵，提醒用戶不要點擊鏈接、鑄造或批準任何交易。[2022/7/22 2:29:57]

對此，前FireEye資深工程師、AnChain.ai架構師RichardLai博士評論到：這是開源存在的問題，維護代碼的人必須是值得信賴的。

這是AnChain.ai區塊鏈三大永恒主題中「代碼安全」的一個真實案例。隨著代碼日益復雜，開源社區也有疏忽之時。

AnChain.ai團隊一直奮戰在區塊鏈安全第一線：從8月份曝光以太坊BAPT-FOMO3D黑客軍團，到11月份幫助世界排名前5的EOSDApp設計安全架構重新安全上線，我們監測到針對交易所、DApp項目方的攻擊越來越多。區塊鏈安全三大永恒主題：交易、代碼、基建，只有全面防護才是安全王道。

本文來源于非小號媒體平臺：

AnChainAI

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627080.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

新研究表明比特幣51%攻擊是「不現實」的

下一篇：

鏈聞首爆OKEx遭遇眾機構投訴，該消息已登上百度熱搜

Tags：BITANCCYBERCYBbitwebanc幣交易所CYBERD幣CyberTime Finance

DYDX