CHA:BitPay 旗下开源 Copay 钱包被爆存在安全漏洞事件分析

事件回顾:

9月9日,每周200万下载量的「event-stream」NodeJS模块中,一个正常的「flatmap-stream」被合并到代码库;10月5日,「flatmap-steam」代码被更新,并夹带了经过混淆的恶意代码。代码审查人员没有仔细检验,就将其合并到代码库。11月26日,加州大学生发现BitPay的Copay钱包使用的「event-stream」中的混淆恶意代码会在该环境被触发,从而盗取钱包中的比特币。这个攻击手段,和2010年专门用于针对伊朗核电站的Stuxnet病可谓异曲同工。Stuxnet会使特定的西门子PLC控制芯片触发,进而可以引发核电站爆炸等严重后果。

Safe:将通过SafeDAO决定如何处置初始分配的ARB代币:5月11日消息,数字资产管理平台Safe(原GnosisSafe)表示,将代表Safe生态接收Arbitrum基金会初始分配的ARB代币,并将在Safe DAO论坛上发帖,以决定如何分配这些资金,同时公布了资金接收地址。此前报道,Arbitrum面向DAO的空投总计1.13亿枚(1.13%),其中Safe获得257540枚。[2023/5/11 14:56:14]

BitPay官方通告称,使用Copay钱包versions5.0.2到5.1.0的用户受到了后门影响,使用这些版本的用户应该假定他们的私钥已经被窃取了,需要尽快升级到5.2.0版本。

Safe正式原生支持Celo主网:金色财经报道,Celo 社区论坛显示,数字资产管理平台 Safe(原 Gnosis Safe)正式原生支持 Celo 主网,Safe 的分叉版本 Celo Safe 上所有的现有功能将继续在 Safe Global 上运行,Celo Safe 用户可继续通过 Safe {wallet} 应用程序管理保险箱。不过,并非所有在 Celo Safe 上创建的保险箱都与通过官方 Safe {wallet} 应用程序提供的最新功能兼容,用户可在 Safe Global 网站创建新的保险箱。

此外,Safe 并不打算停止分叉版本 Celo Safe,因为 Celo Safe 同时支持 Celo 主网与 Alfajores 测试网,Safe Global 仅支持 Celo 主网,但不支持 Alfajores 测试网。因此,Safe 建议在主网上使用保险箱应使用 Safe Global,若在 Alfajores 测试网上使用保险箱可继续使用 Safe Celo。[2023/4/21 14:18:57]

开源代码被埋雷,盗窃比特币的恶意代码居然在群众雪亮的眼睛下,从10月份隐藏至今!

多签钱包GnosisSafe启动“Safe守护者计划”:5月3日消息,多签钱包GnosisSafe启动“Safe守护者计划”(SafeGuardiansProgramvol.1),并将分配5000万枚SAFE代币(占总供应量的5%)奖励给Safe守护者,其中2.5%可立即申领,另外2.5%将在4年内释放。

守护者指任何已为Safe生态系统做出积极贡献的社区活跃成员,目前已开启Safe守护者申请提交程序。此前消息,GnosisSafe关于成立SafeDAO的提案获得通过,计划将空投SAFE代币。[2022/5/3 2:47:36]

对此,前FireEye资深工程师、AnChain.ai架构师RichardLai博士评论到:这是开源存在的问题,维护代码的人必须是值得信赖的。

这是AnChain.ai区块链三大永恒主题中「代码安全」的一个真实案例。随着代码日益复杂,开源社区也有疏忽之时。

AnChain.ai团队一直奋战在区块链安全第一线:从8月份曝光以太坊BAPT-FOMO3D黑客军团,到11月份帮助世界排名前5的EOSDApp设计安全架构重新安全上线,我们监测到针对交易所、DApp项目方的攻击越来越多。区块链安全三大永恒主题:交易、代码、基建,只有全面防护才是安全王道。

本文来源于非小号媒体平台:

AnChainAI

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627080.html

漏洞风险安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

新研究表明比特币51%攻击是「不现实」的

下一篇:

链闻首爆OKEx遭遇众机构投诉,该消息已登上百度热搜

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:15ms0-3:99ms