事件回顧:
- 9 月 9 日,每週 200 萬下載量的「event-stream」NodeJS 模塊中,一個正常的「flatmap-stream」被合併到代碼庫;
- 10 月 5 日,「flatmap-steam」代碼被更新,並夾帶了經過混淆的惡意代碼。代碼審查人員沒有仔細檢驗,就將其合併到代碼庫。
- 11 月 26 日 ,加州大學生 發現BitPay 的 Copay 錢包使用的「event-stream」中的混淆惡意代碼會在該環境被觸發,從而盜取錢包中的比特幣。(該惡意代碼目前已經被修復)
這個攻擊手段,和 2010 年專門用於針對伊朗核電站的 Stuxnet 病毒可謂異曲同工。 Stuxnet 會使特定的西門子 PLC 控制芯片觸發,進而可以引發核電站爆炸等嚴重後果。
BitPay 官方通告 稱,使用 Copay 錢包 versions 5.0.2 到 5.1.0 的用戶受到了後門影響,使用這些版本的用戶應該假定他們的私鑰已經被竊取了,需要儘快升級到 5.2.0 版本。
開源代碼被埋雷,盜竊比特幣的惡意代碼居然在羣衆雪亮的眼睛下,從 10 月份隱藏至今!
對此,前 FireEye 資深工程師、AnChain.ai 架構師 Richard Lai 博士評論到:這是開源存在的問題,維護代碼的人必須是值得信賴的。
這是 AnChain.ai 區塊鏈三大永恆主題中「代碼安全」的一個真實案例。隨着代碼日益複雜,開源社區也有疏忽之時。
AnChain.ai 團隊一直奮戰在區塊鏈安全第一線: 從 8 月份曝光以太坊 BAPT-FOMO3D 黑客軍團, 到 11 月份幫助世界排名前 5 的 EOS DApp 設計安全架構重新安全上線,我們監測到針對交易所、DApp 項目方的攻擊越來越多。區塊鏈安全三大永恆主題: 交易、代碼、基建,只有全面防護纔是安全王道。
繁體中文
简体中文
English
日本語
Español