事件回顾:

  • 9 月 9 日,每周 200 万下载量的「event-stream」NodeJS 模块中,一个正常的「flatmap-stream」被合并到代码库;
  • 10 月 5 日,「flatmap-steam」代码被更新,并夹带了经过混淆的恶意代码。代码审查人员没有仔细检验,就将其合并到代码库。
  • 11 月 26 日 ,加州大学生 发现BitPay 的 Copay 钱包使用的「event-stream」中的混淆恶意代码会在该环境被触发,从而盗取钱包中的比特币。(该恶意代码目前已经被修复)

这个攻击手段,和 2010 年专门用于针对伊朗核电站的 Stuxnet 病毒可谓异曲同工。 Stuxnet 会使特定的西门子 PLC 控制芯片触发,进而可以引发核电站爆炸等严重后果。

BitPay 官方通告 称,使用 Copay 钱包 versions 5.0.2 到 5.1.0 的用户受到了后门影响,使用这些版本的用户应该假定他们的私钥已经被窃取了,需要尽快升级到 5.2.0 版本。

BitPay 旗下开源 Copay 钱包被爆存在安全漏洞事件分析

开源代码被埋雷,盗窃比特币的恶意代码居然在群众雪亮的眼睛下,从 10 月份隐藏至今!

对此,前 FireEye 资深工程师、AnChain.ai 架构师 Richard Lai 博士评论到:这是开源存在的问题,维护代码的人必须是值得信赖的。

这是 AnChain.ai 区块链三大永恒主题中「代码安全」的一个真实案例。随着代码日益复杂,开源社区也有疏忽之时。

AnChain.ai 团队一直奋战在区块链安全第一线: 从 8 月份曝光以太坊 BAPT-FOMO3D 黑客军团, 到 11 月份帮助世界排名前 5 的 EOS DApp 设计安全架构重新安全上线,我们监测到针对交易所、DApp 项目方的攻击越来越多。区块链安全三大永恒主题: 交易、代码、基建,只有全面防护才是安全王道。