О нас
ФФ - Главный криптодайджест! Все самые интересные и важные события сразу на русском.
Платформа Trader trends (tt.ff.ru) – сервис решений для трейдеров и держателей криптоактивов. Подключайся и следи за портфелями профессиональных трейдеров.
Модуль Node.js, вызываемый потоком событий, используется миллионами веб-приложений, включая биткоин-кошелек Copay с открытым кодом от BitPay. Именно этот модуль, по сообщениям, представляет угрозу из-за того, что называется социальной инженерией, ленью и некомпетентностью.
Пользователь с небольшим сроком активности на GitHub просил права на библиотеку потока событий у представителя её предыдущей техподдержки, Доминика Тара (Dominic Tarr), который сказал, что не поддерживает репозиторий несколько лет и передал управление новому пользователю, right9ctrl.
Библиотека потока событий используется во многих приложениях. По словам заявителя на GitHub, новая поддержка в лице пользователя right9ctrl то ли специально инфицировал библиотеку вирусом, то ли неосознанно допустил утечку закрытых ключей от приложений, которые обращаются к модулям потока событий и дополнительных платежей.
Айртон Спарлинг (Ayrton Sparling) написал:
Он добавил флэтмап-поток (имеет три версии, последняя удаленная инфицирована, не поддерживаемая, создана три месяца назад), который полностью нацелен на инфицирование ps-дерева. После того, как он добавил код, практически в то же время как в флэтмап-поток добавился вирус, он загрузил версию и опубликовал. Буквально при второй фиксации репозитория (3 днями позже) после этого он удалил вирус и загрузил основную версию, так что он мог очистить репозиторий от вирусного флэтмап-потока, но тот все еще остался у всех (миллионы инсталляций за неделю), кто использует версию 3.хх.
Иными словами, разработчик обновил модуль версией с вирусом, затем исправил проблему, которую не успели обнаружить, но масса людей, успевших установить новую версию, остались под угрозой инфицирования. Copay, чей открытый код используют многие криптоприложения, стало лишь одним из многих, которое использует проблемную библиотеку. Но среди его пользователей оказалась многомиллионная компания для биткоин-платежей BitPay, что вызывает массу вопросов к последней.
Почему BitPay использует сторонние библиотеки?
Те, кто не знаком с разработками с открытым кодом, могут неправильно подумать, что все это сделано бесплатно из-за высоких идеалов или «любви к искусству». Но это не так. Большинство важных и главных разработок с открытым кодом, вроде работы над Bitcoin Core или ядром Linux выполнялись разработчиками, которые работали в компаниях, участвовавших в разработке этого ПО.
Компании вроде Red Hat вносят код в ядро Linux, а компании вроде Blockstream нанимают разработчиков Bitcoin Core. Причина очевидна: в то время как они могли просто ждать релиза и полагаться на работу других, эти компании нацелены на продвижение разработок и, что важнее, ставят на кон большие деньги при разработке ядра.
Эта модель работает для большинства программных разработок, и нет никаких причин, по которым BitPay должна поступать иначе. Логично, что такая компания не должна использовать ПО «под честное слово». Миллионы и миллионы долларов на кошельках клиентов поручены компании, а не сторонним разработчикам. Если BitPay не заинтересована в активной разработке библиотек вроде потока событий, то она должна использовать версии, проверяя безопасность их каждого обновления. Вместо этого, по мнению многих авторитетных представителей отрасли, компания проявила некомпетентность.
Читайте также: Бутерин: неправильное применение технологии блокчейна приводит к "потери времени"