Hôm thứ hai, Bitpay đã thông báo rằng công ty đã tìm hiểu về vấn đề được báo cáo từ Copay GitHub cho thấy một thư viện JavaScript của bên thứ ba được các ứng dụng sử dụng đã bị sửa đổi để tải lên mã độc.
Mã độc này được triển khai trên phiên bản 5.0.2 đến 5.1.0 của các ứng dụng ví Copay và Bitpay. Mã độc có thể được dùng để ghi lại các chìa khóa riêng tu và lợi dụng điều này để ăn cắp Bitcoin hoặc Bitcoin Cash.
BitPay cho biết:
“Tuy nhiên, ứng dụng của BitPay vẫn chưa bị ảnh hưởng bởi mã độc này. Chúng tôi vẫn đang điều tra liệu mã này đã khai thác được gì từ người dùng Copay hay chưa”.
Công ty hiện đang yêu cầu người dùng không được chạy hoặc mở ví Copay nếu đang sử dụng phiên bản từ 5.0.2 đến 5.1.0. Công ty hiện đã ra mắt phiên bản cập nhật (5.2.0) không có mã độc cho cả người dùng ví Copay và BitPay trên appstore.
BitPay nhấn mạnh:
“Các private key trên ví bị tấn công có thể không còn an toàn, mọi người nên chuyển toàn bộ tiền sang phiên bản ví mới nhất ngay lập tức”.
Bitpay cũng khuyến cáo người dùng không nên chuyển tiền sang các ví mới bằng cách nhập các cụm từ dự phòng gồm 12 từ vì chúng tương ứng với “các khóa riêng tư có khả năng đã bị xâm phạm”.
“Người dùng nên cập nhập các phiên bản ví bị hack (5.0.2-5.1.0) và sau đó chuyển toàn bộ tiền sang phiên bản ví mới 5.2.0, đồng thời sử dụng Send Max để thực hiện các giao dịch”.
Vụ tấn công dường như được thực hiện bởi một nhà phát triển có tên là Right9ctrl. Người này đã dành quyền kiểm soát thư viện NodeJS từ tác giả. Vụ tấn công xảy ra từ ba tháng trước khi Right9ctrl được cấp phép truy cập vào cơ sở dữ liệu, cùng thời điểm mã độc bị rò rỉ vào hệ thống.
Jackson Palmer, người sáng lập Dogecoin, đăng một tweet bình luận về tin tức này:
“Đây là một trong những vấn đề chính với các ví tiền mã hóa dùng JavaScript phụ thuộc lớn vào NPM. Công ty này đã từng tin tưởng các nhà phát triển trực tuyến sẽ không bao giờ cài mã độc vào ví của mình”.
