يستخدم Rogue Developer مشروعًا مفتوح المصدر شهيرًا لسرقة عملات البيتكوين

قد يمنحك عيش حياة العملة المشفرة مزيدًا من التحكم في أموالك ، ولكنه يأتي أيضًا بمخاطر أكبر بكثير من الأموال الورقية القديمة. يتعلم بعض مستخدمي Bitcoin هذا الدرس بالطريقة الصعبة بعد المطورين اكتشف كود خبيث في مكتبة التعليمات البرمجية مفتوحة المصدر المستخدمة على نطاق واسع. كان الهدف ، على ما يبدو ، هو سحب الأموال من مستخدمي محفظة Copay crypto. لا يزال حجم الخرق قيد التحقيق ، لكن الأمور لا تبدو جيدة.

يركز الهجوم على مكتبة JavaScript لدفق الأحداث ، والتي تستخدمها العديد من الشركات وغيرها من المشاريع مفتوحة المصدر للتعامل مع بيانات تدفق Node.js. لا تحتاج إلى معرفة تفاصيل كيفية عمل كل ذلك - كل ما تحتاج إلى معرفته هو أن هذه المكتبة كانت شائعة للغاية حيث تم تنزيل ما يقرب من 2 مليون مرة أسبوعيا. هذه المكتبة موجودة منذ سنوات بدون أي مشكلة ، لكن ذلك تغير منذ عدة أشهر.



وفقا ل موضوع جيثب، المطور الأصلي ، سئم دومينيك تار من صيانة مكتبة لم يعد يستخدمها. ظهر شخص ما من الظل مع عرض لتولي المشروع ، وأتاح تار الوصول. ربما كان من الذكاء أن يقوم Tarr بفحص المطور الجديد ، لكن الإدراك المتأخر هو 20/20.



بدأ المطور الجديد ، المعروف فقط باسم 'right9ctrl' ، العمل على إضافة وحدة جديدة تسمى flatmap-steam في أكتوبر. لم يحتوي هذا التحديث في الواقع على أي شيء ضار - كان الدليل الجديد فارغًا. قامت مشاريع أخرى بدمج الكود المحدث في برامجها دون علم ، مما أعطى right9ctrl الفتحة التي يحتاجونها للهجوم. في وقت سابق من هذا الشهر ، تم تحديث وحدة Flatmap-steam برمز خبيث حاول سرقة محافظ Bitcoin و Bitcoin Cash. إذا نجحت ، فقد نقلت الوحدة العملات المعدنية إلى خادم في ماليزيا.



استهدف هذا الهجوم على وجه التحديد تطبيق Copay wallet الذي يستخدم مكتبة تدفق الأحداث. عند نشره في هذا التطبيق ، يتم تنشيط الرمز لكسر المفاتيح الخاصة. يقول BitPay ، الذي يصنع تطبيق Copay wallet ، أن الإصدارات من 5.0.2 إلى 5.1.0. يتم طرح إصدار v5.2 جديد لإزالة التعليمات البرمجية الضارة. توصي الشركة كل شخص يستخدم ترقية قديمة للتطبيق في أسرع وقت ممكن. نظرًا لأن مفاتيح المحفظة القديمة معرضة للخطر على الأرجح ، تقترح BitPay تحويل جميع الأموال إلى محفظة جديدة في الإصدار 5.2.

أي شخص فقد عملة مشفرة في هذا الهجوم ربما لم يحالفه الحظ. لا توجد طريقة لتتبع الجاني إلا إذا كانوا مهملين بشكل خاص ، والعملات المشفرة غير محمية بتأمين الإيداع مثل الأموال التقليدية في البنوك. إذا تمت سرقته ، فقد ذهب.

Copyright © كل الحقوق محفوظة | 2007es.com