Copay
哪些錢包會受到 NPM 包漏洞的影響?
最近,在一些比特幣錢包軟體(如CoPay和BitPay )使用的開源項目中發現了一個漏洞。
是否還有其他已知受此漏洞影響的錢包?
如果我是該軟體的使用者,我可以採取哪些步驟來保護我的比特幣?
只有 Copay 受此漏洞影響。
儘管該包被許多項目(包括加密空間內部和外部)包含在內,但攻擊載荷是加密的,並使用包描述作為解密密鑰。他們發現有問題的關鍵是(通過蠻力)
A Secure Bitcoin Wallet,這是 copay-dash 包的 npm 描述。因此,沒有將其作為描述的包將無法解密並因此執行有效負載。
請注意,即使在 nodejs 生態系統之外,這種攻擊對於任何不驗證和固定其依賴項的包都是可行的。開發人員應該努力確保他們正在導入經過審查的程式碼,並固定(甚至是供應商)他們的依賴關係。這對於處理私鑰的程序尤其重要。