Хакеру удалось получить доступ к библиотеке опенсорсного биткоин-кошелька Copay и внедрить вредоносный код, с помощью которого можно получить доступ к приватным ключам.
Один из разработчиков кошелька Copay Доминик Тарр дал доступ к библиотеке модуля event-stream пользователю GitHub с ником right9ctrl. Тот оказался хакером и внедрил в библиотеку вредоносный код, похищающий приватные ключи.
Из-за действий злоумышленника с Copay были похищены приватный ключи от кошельков, на которых хранилось более чем 100 BTC. Пока точная сумма потерь от внедренного зловреда неизвестна.
Пользователям советуют не открывать приложение Copay и как можно скорее обновиться до безопасной версии 5.2, которая пока отсутствует в магазинах приложений, но уже выложена на Github. После обновления до версии 5.2 пользователям необходимо создать новый кошелек и перевести на него все средства с помощью обычной транзакции.
Биткоин-кошелек Copay создат разработчиками процессингового сервиса Bitpay.
Зловредный код был внедрен в версии Copay и кошельки-приложения Bitpay от 5.0.2 до 5.1.0.
Создатель криптовалюты Dogecoin Джексон Палмер написал в твиттере, что проблема с внедренным зловредом связана с использованием языка программирования JavaScript для создания криптокошельков, у которых наблюдается сильная зависимость от NPM-модуля.