Copay-Wallet von BitPay mit Schadsoftware infiziert. Was Betroffene nun tun sollten

0
1067
© Depositphotos
⏱ Lesezeit: 2 Minuten

Offenbar bestehen Sicherheitslücken bei bestimmten Versionen der Copay-Wallet von BitPay, durch welche die Private Keys der Nutzer gestohlen werden können. Das Problem entstand, als Schadsoftware in eine frei verfügbare JavaScript-Bibliothek eingeschleust wurde. Betroffene sollten ihre Coins schnellstmöglich auf eine durch ein Update gesicherte Version der Wallet transferieren.

Der Krypto-Zahlungsverarbeiter BitPay veröffentlichte am Montag eine Warnung, dass bestimmte Versionen seiner Desktop- und Mobile-Wallet Copay durch Schadsoftware unsicher geworden seien. Der kompromittierte Code sei bei den Versionen 5.0.2 und 5.1.0 festgestellt worden und könne es einem Angreifer ermöglichen, die Private Keys der BitPay-Kunden abzufischen.

Das Unternehmen rät dringend dazu, neue Wallets mit der sicheren Version 5.2.0 einzurichten und unter Nutzung der Send Max-Funktion den gesamten Inhalt einer bedrohten Wallet dorthin zu übertragen. Das Problem beschränke sich auf die Copay-Wallet, die BitPay-App sei dagegen nicht betroffen. Die Firma untersuche noch, ob die Schwachstelle tatsächlich ausgenutzt worden sei.

Befall durch JavaScript-Pakete

Die Einschleusung der Schadsoftware geschah nicht über BitPays eigenen Code, sondern über ein JavaScript-Modul aus der Open Source-Bibliothek NodeJS, auf welche jener zugreift. Wie der GitHub-Nutzer Ayrton Sparling bereits vergangene Woche aufdeckte, implantierte der mutmaßliche Angreifer namens Right9crtl erst den verseuchten Code mit einem Update und überschrieb ihn wenige Tage später, um seine Spuren zu verwischen.

Für Dogecoin-Erfinder Jackson Palmer wird durch die Sicherheitslücke „eines der Hauptprobleme von JavaScript-basierten Kryptowährungs-Wallets“ deutlich und zwar die „schwerwiegende Stromaufwärts-Abhängigkeit von [dem Paketmanager] NPM“. BitPay habe sich blind darauf verlassen, dass alle Entwickler, auf deren frei verfügbare Programme es zugreift, keinen schädlichen Code einschleusen würden.

Angreifer erlangte Zugriffsrechte mit Leichtigkeit

Offenbar war es für Right9crtl ein Kinderspiel gewesen, sich zum Verwalter des betroffenen Moduls zu machen. Er musste nur eine E-Mail an Dominic Tarr, den Ersteller, schreiben und ihn darum bitten.

Tarr schrieb in einer Stellungnahme am Montag, er habe den „Code nicht aus altruistischen Motiven, sondern zum Spaß erstellt“. In der Zwischenzeit habe er allerdings die Freude daran verloren und sich anderen Dingen zugewandt. Man bekäme schließlich „buchstäblich nichts“ für die Wartung beliebter Code-Pakete.

Hätte er allerdings von den böswilligen Absichten von Right9crtl gewusst, hätte er ihm die Rechte nicht übertragen. Um derartige Sicherheitslücken in Zukunft zu verhindern, bietet er zwei Lösungsvorschläge: Entweder sollten abhängige Firmen die Verwalter der Module bezahlen oder sich selbst um ihre Wartung kümmern.

Welche Lehren lassen sich aus der Kontamination der Copay-Wallet ziehen? Schreib uns Deine Gedanken dazu in die Kommentarspalte!

Hinterlasse einen Kommentar

Please enter your comment!
Please enter your name here