Bitcoin News

Diversi wallet Bitcoin (BTC) sono stati compromessi da un developer

Il modulo di Node.js chiamato event-stream è utilizzato in milioni di applicazioni web, incluso il wallet Bitcoin (BTC) open-source di BitPay, Copay. Questo modulo recentemente è stato dichiarato compromesso grazie a un po’ di ingegneria sociale, pigrizia e incompetenza.

Un utente, in realtà non troppo attivo su GitHub, ha richiesto i diritti di pubblicazione della libreria event-stream dal suo precedente manutentore, Dominic Tarr, che ha affermato di non aver mantenuto aggiornato il repository in questi anni e di aver ceduto questo compito ad un utente chiamato chiamato right9ctrl.

La libreria event-stream viene utilizzata in molte applicazioni Node.js. Secondo un’affermazione di un utente di GitHub, il nuovo “incaricato”, tale right9ctrl, avrebbe inserito un malware (o involontariamente fatto qualcosa che ha portato allo stesso effetto) nelle applicazioni che si basano sia sull’event-stream che sui moduli copay-dash.

Ayrton Sparling ha scritto:

Ha aggiunto flatmap-stream, che è una “injection targeting ps-tree”, subito dopo, right9ctrl, ha eseguito il dump della versione e l’ha pubblicata. Nel secondo commit (3 giorni dopo) ha rimosso l’injection ed ha fatto il dump della nuova versione principale, cancellando il repository con il flatmap-stream ma ormai erano stati effettuati molti download (milioni di installazioni settimanali).

Fondamentalmente, lo sviluppatore ha aggiornato il modulo con il malware e poi ha corretto il problema per evitarne il rilevamento, ma le numerose persone che lo avevano già installato ne sono tutt’ora colpite. Copay, il cui codice open-source è utilizzato da molte applicazioni di crittografia, sarebbe solo uno dei tanti utilizzatori di questa libreria, ma è sviluppato e gestito da una società di elaborazioni di pagamenti in Bitcoin (BTC), BitPay. Tutto ciò fa sorgere diverse domande:

Perché BitPay utilizza le librerie upstream?

Chi non è avvezzo al mondo dello sviluppo open source può farsi l’idea sbagliata che tutto sia fatto gratuitamente a causa di ideali pacifici e di persone ostili ai software “chiusi”, ma non è cosi. La maggior parte dei principali e importanti sviluppi open source, come ad esempio il lavoro su Bitcoin Core o il lavoro sul Kernel Linux, vengono svolti da sviluppatori impiegati in aziende che hanno un interesse economico nella creazione di tali software.

Aziende come Red Hat contribuiscono, attraverso la stesura di codice, al kernel di Linux e altre come Blockstream hanno sviluppatori di Bitcoin Core. La ragione è ovvia: potrebbero tranquillamente aspettare la versione di qualcuno e lavorarci sopra, tuttavia queste aziende hanno obiettivi mirati che vanno raggiunti in tempo prestabilito e, soprattutto, hanno tanti soldi da investire.

A maggior ragione, BitPay non dovrebbe usare il software in questione basandosi sul fatto che è sicuro. Milioni e milioni di dollari dei wallet vengono affidati a loro, non agli sviluppatori. Se BitPay non è interessata a sviluppare attivamente librerie come event-stream, allora dovrebbe usare versioni forkate (forked versions), verificando che ogni aggiornamento sia sicuro. Invece, come hanno affermato molte parti interessate del settore, ha dimostrato incompetenza andandosi a fidare ciecamente.

Non ci resta che attendere la replica di BitPay, sperando in una risoluzione a tale problema.

cripto

Vi invitiamo a seguirci sul nostro canale Telegram ed anche sul gruppo ufficiale Telegram, dove sarà possibile discutere insieme delle notizie e dell’andamento del mercato, sulla nostra pagina Facebook e sul nostro account Twitter.


La più grande community italiana dedicata alle criptovalute: Italian Crypto Club (ICC)

[VIA]

Salvatore Scorsone

Nato a Palermo nel '98. Studente di Ingegneria Informatica al Politecnico di Torino, da sempre appassionato di arte, tecnologia e di start-up. Da anni seguo il mondo delle criptovalute e del Bitcoin in particolare.

Related Posts

Rispondi