В BitPay отреагировали на информацию об уязвимости созданного им кошелька Copay, связанной с изменённой Node.js. Вредоносный код в библиотеке может воровать приватные ключи клиентов.
В официальном блоге компании опубликовано сообщение, что этот вредоносный код был интегрирован в версии Copay 5.0.2 – 5.1.0, а также в некоторые приложения, но не был интегрирован в сам процессинговый сервис BitPay.
«Мы продолжаем изучать, была ли эта уязвимость когда-либо использована против пользователей Copay», – говорится в сообщении.
Установившим кошелек Copay 5.0.2 – 5.1.0 пользователям не рекомендуется запускать приложение. Исправленная версия Copay 5.2.0 уже загружена в магазины приложений.
Приватные ключи могли быть скомпрометированы, хотя достоверно этот факт еще не установлен. Поэтому средства нужно переместить на новые кошельки, но не путём импортирования фразы, используемой для восстановления доступа уязвимых кошельков. Компания рекомендует сначала обновить уязвимые кошельки, потом переместить весь баланс с них на новые кошельки 5.2.0 через функцию “Send Max”.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: