Hechos clave:
- El código malicioso afectó desde la versión 5.0.2 hasta la 5.1.0 de las carteras de Copay
- Aún no se han reportado víctimas de esta falla y la versión 5.2.0 no es vulnerable
El código de las aplicaciones de pago Bitpay y Copay se vio alterado desde la versión 5.0.2 a la 5.1.0 con líneas de código que abrían un backdoor o puerta trasera, a través de la cuál un atacante podía apropiarse de las semillas de un monedero.
No se reportan víctimas del vector de ataque. No obstante, el hecho de que esta vulnerabilidad haya sido introducida en el código de un repositorio de tal importancia en GitHub, pone sobre el tapete los bajos niveles de seguridad con los que se maneja el desarrollo de estas aplicaciones.
Según se puede leer en GitHub, el atacante −identificado como @right9ctrl− logró introducir un código malicioso en un módulo de NodeJS, donde se ubicaba la biblioteca usada por Copay y Bitpay. Esta es una biblioteca pública, cuyo principal responsable reconoció que sencillamente dio acceso al hacker alegando que no recibe incentivos por esa labor.
“Él me envió un correo electrónico y dijo que quería mantener el módulo, así que se lo di. No obtengo nada de mantener este módulo y ni siquiera lo uso más, ni lo he hecho por años”, escribió el usuario @dominictarr en la discusión sobre el hecho, iniciada el pasado 20 de noviembre en GitHub.
De acuerdo con un comunicado publicado por la empresa, la versión 5.2.0 del monedero es segura. Sin embargo, recomiendan que los usuarios, tras actualizar la aplicación, envíen todos sus fondos a una nueva cartera creada con el software corregido. Esto debido a que las semillas de las versiones previas podrían verse comprometidas.
La actualización del monedero eventualmente estará disponible en las tiendas de aplicaciones correspondientes al sistema operativo de los teléfonos móviles.
Los usuarios no deben intentar mover fondos a nuevas carteras importando las frases de respaldo de doce palabras de las carteras afectadas (que corresponden a claves privadas potencialmente comprometidas). Los usuarios primero deben actualizar sus carteras afectadas (5.0.2-5.1.0) y luego enviar todos los fondos de las carteras afectadas a una nueva cartera en la versión 5.2.0, utilizando la función “Enviar Máx.” Para iniciar transacciones de la totalidad de los fondos.
Bitpay
De acuerdo con Ruben Somsen, otros monederos construidos con este software como base podrían verse afectados; como en el caso del monedero de bitcoin cash (BCH) creado por Bitcoin.com. “Nota a los usuarios de BCH, el monedero de Bitcoin [.] com es una bifurcación del monedero de Copay y también podría verse afectado”, señaló a través de su cuenta en Twitter. Aunque, por medio de la misma red social, Bitcoin.com aclaró que su versión del monedero no sufría de esa vulnerabilidad.
Imagen destacada por: PR Image Factory / stock.adobe.com
