PAY:BitPay 旗下开源 Copay 钱包被爆存在安全漏洞事件分析_Unirealchain

事件回顾：

9月9日，每周200万下载量的「event-stream」NodeJS模块中，一个正常的「flatmap-stream」被合并到代码库；10月5日，「flatmap-steam」代码被更新，并夹带了经过混淆的恶意代码。代码审查人员没有仔细检验，就将其合并到代码库。11月26日，加州大学生发现BitPay的Copay钱包使用的「event-stream」中的混淆恶意代码会在该环境被触发，从而盗取钱包中的比特币。这个攻击手段，和2010年专门用于针对伊朗核电站的Stuxnet病可谓异曲同工。Stuxnet会使特定的西门子PLC控制芯片触发，进而可以引发核电站爆炸等严重后果。

数据：Linea主网已转入6325枚ETH:7月21日消息，根据Dune上查询数据显示，Linea主网已转入6325枚ETH，独立地址数达26789个，仅进行了一次交互的地址数为23998个。[2023/7/21 15:50:14]

BitPay官方通告称，使用Copay钱包versions5.0.2到5.1.0的用户受到了后门影响，使用这些版本的用户应该假定他们的私钥已经被窃取了，需要尽快升级到5.2.0版本。

0VIX：若攻击者不返还资金将于明日开始对其的追查:金色财经报道，Polygon生态项目0VIX Protocol在社交媒体上发布给攻击者的官方消息：在2023年5月1日UTC上午8点，在没有任何资金返还的情况下，执法程序预定开始。我们将把目前得到的线索与我们已经对你进行的追踪结合起来，并将其全部移交。如今要在网上隐藏你的身份是非常困难的，即使你采取了预防措施。你的安全防护措施并不比euler finance和Sentiment攻击者在上个月做得好。

我们不会停止，直到我们全额收回协议用户的资金，你的团队被起诉/入狱，或者两者都是。[2023/4/30 14:35:17]

开源代码被埋雷，盗窃比特币的恶意代码居然在群众雪亮的眼睛下，从10月份隐藏至今！

元宇宙公司“优立科技”完成近亿元Pre-B轮融资:4月12日消息，元宇宙核心技术提供商“优立科技”宣布完成近亿元Pre-B轮融资，本轮融资由鲲鹏一创、和诚资本等机构投资。资金将主要用于产品迭代、市场拓展以及技术团队扩充。

据悉，优立科技（Eulee）是一家元宇宙核心技术提供商，专注为企业提供三维数据管理、数字孪生创建及应用。其旗下产品包括三维数据渲染引擎udStream、元宇宙SaaS云平台产品EuleeVerse、高精建模技术以及全息虚拟现实应用系统。[2023/4/12 13:59:09]

对此，前FireEye资深工程师、AnChain.ai架构师RichardLai博士评论到：这是开源存在的问题，维护代码的人必须是值得信赖的。

这是AnChain.ai区块链三大永恒主题中「代码安全」的一个真实案例。随着代码日益复杂，开源社区也有疏忽之时。

AnChain.ai团队一直奋战在区块链安全第一线：从8月份曝光以太坊BAPT-FOMO3D黑客军团，到11月份帮助世界排名前5的EOSDApp设计安全架构重新安全上线，我们监测到针对交易所、DApp项目方的攻击越来越多。区块链安全三大永恒主题：交易、代码、基建，只有全面防护才是安全王道。

本文来源于非小号媒体平台：

AnChainAI

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627080.html

漏洞风险安全

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

新研究表明比特币51%攻击是「不现实」的

下一篇：

链闻首爆OKEx遭遇众机构投诉，该消息已登上百度热搜

标签：CHAAINPAYChainVenus ChainBlockchain PropertyPayexpressUnirealchain

KuCoin热门资讯