Offenbar bestehen Sicherheitslücken bei bestimmten Versionen der Copay-Wallet von BitPay, durch welche die Private Keys der Nutzer gestohlen werden können. Das Problem entstand, als Schadsoftware in eine frei verfügbare JavaScript-Bibliothek eingeschleust wurde. Betroffene sollten ihre Coins schnellstmöglich auf eine durch ein Update gesicherte Version der Wallet transferieren.
Der Krypto-Zahlungsverarbeiter BitPay veröffentlichte am Montag eine Warnung, dass bestimmte Versionen seiner Desktop- und Mobile-Wallet Copay durch Schadsoftware unsicher geworden seien. Der kompromittierte Code sei bei den Versionen 5.0.2 und 5.1.0 festgestellt worden und könne es einem Angreifer ermöglichen, die Private Keys der BitPay-Kunden abzufischen.
Das Unternehmen rät dringend dazu, neue Wallets mit der sicheren Version 5.2.0 einzurichten und unter Nutzung der Send Max-Funktion den gesamten Inhalt einer bedrohten Wallet dorthin zu übertragen. Das Problem beschränke sich auf die Copay-Wallet, die BitPay-App sei dagegen nicht betroffen. Die Firma untersuche noch, ob die Schwachstelle tatsächlich ausgenutzt worden sei.
Befall durch JavaScript-Pakete
Die Einschleusung der Schadsoftware geschah nicht über BitPays eigenen Code, sondern über ein JavaScript-Modul aus der Open Source-Bibliothek NodeJS, auf welche jener zugreift. Wie der GitHub-Nutzer Ayrton Sparling bereits vergangene Woche aufdeckte, implantierte der mutmaßliche Angreifer namens Right9crtl erst den verseuchten Code mit einem Update und überschrieb ihn wenige Tage später, um seine Spuren zu verwischen.
Für Dogecoin-Erfinder Jackson Palmer wird durch die Sicherheitslücke „eines der Hauptprobleme von JavaScript-basierten Kryptowährungs-Wallets“ deutlich und zwar die „schwerwiegende Stromaufwärts-Abhängigkeit von [dem Paketmanager] NPM“. BitPay habe sich blind darauf verlassen, dass alle Entwickler, auf deren frei verfügbare Programme es zugreift, keinen schädlichen Code einschleusen würden.
This is one of the major issues with JavaScript-based cryptocurrency wallets with heavy up-stream dependencies coming from NPM. @BitPay essentially trusted all the up-stream developers to never inject malicious code into their wallet.@dominictarr also let the attacker in, sadly
— Jackson Palmer (@ummjackson) November 26, 2018
Angreifer erlangte Zugriffsrechte mit Leichtigkeit
Offenbar war es für Right9crtl ein Kinderspiel gewesen, sich zum Verwalter des betroffenen Moduls zu machen. Er musste nur eine E-Mail an Dominic Tarr, den Ersteller, schreiben und ihn darum bitten.
Tarr schrieb in einer Stellungnahme am Montag, er habe den „Code nicht aus altruistischen Motiven, sondern zum Spaß erstellt“. In der Zwischenzeit habe er allerdings die Freude daran verloren und sich anderen Dingen zugewandt. Man bekäme schließlich „buchstäblich nichts“ für die Wartung beliebter Code-Pakete.
Hätte er allerdings von den böswilligen Absichten von Right9crtl gewusst, hätte er ihm die Rechte nicht übertragen. Um derartige Sicherheitslücken in Zukunft zu verhindern, bietet er zwei Lösungsvorschläge: Entweder sollten abhängige Firmen die Verwalter der Module bezahlen oder sich selbst um ihre Wartung kümmern.
Welche Lehren lassen sich aus der Kontamination der Copay-Wallet ziehen? Schreib uns Deine Gedanken dazu in die Kommentarspalte!