Gün geçmiyor ki kripto dünyasında yeni bir skandal ile karşılaşmayalım. Henüz ispatlanmış bir iddiaya göre bir geliştirici yüzünden Bitcoin cüzdanlarınız ile bilgiler ifşa edilmiş olabilir.
Bitcoin cüzdanlarınız hacklenmiş olabilirBitPay’in açık kaynaklı bitcoin cüzdanı Copay’i kullananlar da dahil olmak üzere, milyonlarca kişi tarafından kullanılan Node.js modülündeki bilgilerin çalınmış olabileceği iddia edildi. Sistemdeki hata Github’da kodlama faaliyetlerinde bulunan “deanveloper” adlı kullanıcı tarafından fark edildi. Bu kullanıcı pazartesi günü, önceki arşivinde mevcut olan olay akışına (event-stream) dair yayın haklarını talep etti.
Dominic Tarr adındaki geliştirici, bilgilerin istendiği depoyu uzun zamandır kontrol etmediğini, hatta birkaç ay önce projenin (Node.jr) geliştirilmesi ve bakımını right9ctrl adlı bir programcıya teslim ettiğini söyledi. Tespit edilen kötü amaçlı kod, 9 Eylül tarihinde NPM deposu aracılığıyla yayınlanan ve 3.3 milyondan fazla kullanıcı tarafından indirilen 3.3.6 numaralı Event-Stream sürümüne eklenmiş.
Right9ctrl, sisteme eklediği kodla event-stream ve copay-dash modülüne dayanan uygulamalar üzerinden özel anahtarların bilgilerini çaldı. Dolandırıcının geliştirdiği Flatmap-stream modülü şifrelendiği için de 2 aydan fazla bir süredir tespit edilemedi. Ta ki California State Üniversitesi’nde bilgisayar bilimi öğrencisi olan Ayrton Sparling’in (FallingSnow) durumu fark edene kadar.
BitPal güvenlik konusunda yetersiz mi?Sparkling yaptığı açıklamada olayın nasıl gerçekleştiğine dair ayrıntıları şu şekilde paylaştı:
“ Dolandırıcı, modülü ilk olarak kötü amaçlı yazılım ile güncelledi. Daha sonra da fark edilmemek için sisteme yama yaptı. Ancak bu iki olay arasında uygulamayı güncelleyen milyonlarca kişi bundan etkilendi. Etkilenenlerden bir tanesi de milyon dolarlık bir Bitcoin ödeme işleme şirketi olan BitPay.”Olayın duyulmasının ardından BitPay yetkilileri hemen bir duyuru yayınladı. Duyuruda 5.0.1’den 5.1.0’a kadar olan Copay sürümlerinin zararlı koddan etkilendiğini haber verdiler. Bu sürümleri yükleyen kullanıcıların Copay’ın 5.2.0 sürümü yüklenene kadar uygulamayı çalıştırmamaları gerektiğini bildirdiler.
Bu olayda asıl sorgulanması gereken mesele BitPay gibi kendisine binlerce Bitcoin emanet edilen bir şirketin, böyle bir dolandırıcılığı 3 ayda neden fark edemediğidir. Çünkü müşteriler sahip oldukları varlıklarını Red Hat veya Bitcoin Core gibi açık kaynak geliştiricilere değil BitPal’e emanet ediyor.
Eğer BitPal event-stream gibi arşivler üretme konusunda zaafı olduğuna inanıyorsa veya bunu masraflı buluyorsa, en azından güncellemeler için güvenli olduğu doğrulanmış çatallı sürümleri kullanmalıdır. Böyle bir olayın tekrar olması durumunda birçok paydaşı tarafından yetersiz ve güvenilmez damgası yiyecektir.
& EOS Yaşanan Hack İle Ciddi Bir Darbe Daha Aldı. Kayıp 380.000 Dolar yazısı için..
& Bithump Hacklendi, Peki Sebebi Neydi?