أعلنت شركة بتباي BitPay لخدمات مدفوعات البتكوين في الولايات المتحدة أنَّ محفظة كوباي Copay التابعة للشركة قد تعرضت للاختراق.
وصرحت بتباي يوم الاثنين 26 نوفمبر/تشرين الثاني أنَّها علمت بالمشكلة من تقرير محفظة كوباي على موقع غت هاب GitHub، الذي أشار إلى أنَّ إحدى مكتبات جافا سكريبت التي يستخدمها التطبيق الخاص بالمحفظة والتابعة لطرف ثالث قد عُدِّلَت لتحميل الكود الخبيث.
دُسَّ الكود في إصداراتٍ مختلفة من تطبيقات محافظ بتباي وكوباي، بدايةً من الإصدار 5.0.2 وحتى 5.1.0، ومن الممكن أن يُستَخدم لمعرفة المفاتيح الخاصة للمحافظ لسرقة عملات البتكوين (BTC) والبتكوين كاش (BCH).
وصرَّحت بتباي: “رغم ذلك، فإنَّ تطبيق بتباي لم يتعرض للاختراق. ولا زلنا نحقق في إمكانية استغلال الكود الخبيث للإضرار بمستخدمي كوباي”.
وطلبت الشركة من المستخدمين عدم تشغيل أو فتح محفظة كوباي إذا كانوا يستخدمون الإصدارات من 5.0.2 وحتى 5.1.0. وأصدرت تحديثاً جديداً برقم 5.2.0 خالٍ من الكود الخبيث لجميع مستخدمي محفظتي كوباي وبتباي، وسيكون هذا الإصدار متاحاً في متاجر التطبيقات “على الفور”.
وأكدت بتباي أنَّه “ينبغي على المستخدمين افتراض أنَّ المفاتيح الخاصة في المحافظ المتأثرة بالكود قد تعرضت للاختراق، لذا يجب عليهم نقل أموالهم إلى محافظ جديدة تعمل بالإصدار 5.2.0 على الفور”.
ونصحت الشركة المستخدمين بعدم نقل أي أموال إلى المحافظ جديدة عن طريق استيراد عباراتهم الاحتياطية المكونة من 12 كلمة، نظراً لأنَّها مرتبطة بـ”المفاتيح الخاصة التي ربما تكون قد تعرضت للاختراق”.
وأضافت الشركة: “يجب على المستخدمين أولاً تحديث محافظهم المتأثرة (التي كانت تعمل بالإصدارات من 5.0.2 إلى 5.1.0) ثم إرسال جميع الأموال من المحافظ المتأثرة إلى محفظة جديدة تعمل بالإصدار 5.2.0، باستخدام خاصية سيند ماكس Send Max لبدء تحويل جميع المبالغ المالية”.
وبحسب تقريرٍ نشره موقع زد نت ZDNet؛ يُعتقد بأنَّ المسؤول عن الهجوم هو مطور يُدعى Right9ctrl، تولى صيانة مكتبة نود جي إس NodeJS نيابةً عن مؤسسها الذي لم يعد متفرغاً للعمل. ووقع الهجوم منذ حوالي ثلاثة أشهر عندما مُنح المطور Right9ctrl حق الوصول إلى سجل تطوير مكتبة نود جي إس على موقع غت هاب، وحينها أضاف الكود.
وغرد جاكسون بالمر، منشئ عملة الدوج كوين المشفرة (Doge)، رداً على الخبر: “هذه واحدة من المشكلات الرئيسة التي تواجهها محافظ العملات المشفرة المبنية على لغة البرمجة جافا سكريبت، والتي تعتمد على بكثافة علي استيراد مكتبات خارجية عبر أوامر NPM. لقد وثقت بتباي من الأساس بأنَّ جميع المكتبات الذين تعتمد المحافظ على عملهم لن تحقن أي كوداً خبيثاً في المحافظ“.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.