Un logiciel malveillant vole la clé privée du portefeuille de co-paiementBitPay, le portefeuille multi-signatures de Bitcoin se présente comme un « portefeuille Bitcoin sécurisé et partagé », mais il semble que ce ne soit plus le cas depuis quelques mois. Lundi, BitPay a informé ses utilisateurs d'une attaque de logiciel malveillant visant son portefeuille public, et a indiqué que ce logiciel malveillant pourrait avoir accédé aux clés privées des utilisateurs.
Selon la société de paiement blockchain, les utilisateurs doivent s'attendre à ce que les portefeuilles infectés par le logiciel malveillant ne protègent pas leurs clés privées. À cet égard, les utilisateurs des versions 5.0.2 à 5.1.0 des applications Copay et BitPay sont considérés comme les principales victimes et sont invités à transférer tous leurs fonds vers la version 5.2.0 de l'application.
Le problème est survenu suite à l'insertion d'un code infecté dans le flux d'événements du module Node.js. Ce code a été inséré par un nouvel utilisateur ayant obtenu l'accès à la bibliothèque JavaScript de la part du fondateur initial il y a trois mois. Dominic Tarr, l'ancien responsable de la maintenance du module, a indiqué avoir confié cette responsabilité à ce nouvel utilisateur, ce dernier s'étant engagé à assurer la maintenance.
Le nouveau responsable a continué à déployer le module Event-Stream 3.3.6, qui inclut une bibliothèque de mappage à plat contenant le code infecté. Sur GitHub, Ayrton a indiqué que l'ajout d'Event-Stream par le nouveau responsable ne constitue pas une amélioration du code source.
Ce code malveillant ne peut s'exécuter que s'il est intégré au code source de Copay, permettant ainsi le vol d'informations utilisateur telles que les clés privées du portefeuille. Ces informations sont ensuite envoyées à l'API de Copay sur le port 8080. Nicolas Noble, utilisateur de l'application, affirme que la présence de code malveillant et de Copay-dash dans une application entraîne le vol des Bitcoinqui y sont stockés.
BitPay a indiqué que son application n'était pas exempte de code malveillant et que l'entreprise vérifiait toujours si des utilisateurs avaient été affectés. BitPay a averti ses utilisateurs de ne pas transférer leurs fonds vers les nouveaux portefeuilles, car cela risquerait de propager l'infection. L'entreprise leur a demandé de mettre à jour la version de leur portefeuille concernée (5.0.25.1.0) et d'utiliser la version 5.2.0 pour leurs transferts de fonds, en utilisant la fonction « Envoyer Max » afin de traiter l'ensemble de leurs transactions.
