El criptoprocesador de pagos BitPay emitió ayer, 26 de noviembre, un aviso en su blog oficial para los usuarios de su monedero de código abierto Bitcoin (BTC) Copay, que supuestamente ha sido comprometida por código malicioso.

La vulnerabilidad pertenece a un módulo Node.js de terceros, también conocido como "flujo de eventos", que se utiliza en las versiones 5.0.2 a 5.1.0 de las aplicaciones Copay y BitPay de BitPay. Según un informe de GitHub, este módulo fue modificado para cargar malware capaz de robar las claves privadas de los usuarios.

BEl post de BitPay afirma que la aplicación BitPay no era vulnerable al código malicioso, pero que su equipo está investigando si la vulnerabilidad ha sido explotada contra algún usuario de CoPay. 

Mientras tanto, la compañía ha dado consejos a sus usuarios, afirmando que cualquiera que utilice la versión Copay de la 5.0.2 a la 5.1.0, "no debe ejecutar o abrir la aplicación". La compañía ha lanzado una actualización de seguridad en la versión (5.2.0), que está prevista para su inminente publicación en tiendas de aplicaciones. 

La compañía también advierte que los usuarios de las versiones afectadas "deberían asumir" que sus claves privadas pueden haber sido comprometidas, y por lo tanto trasladar cualquier posesión a nuevos y seguros monederos v5.2.0 "inmediatamente”:

“Los usuarios no deben intentar mover fondos a monederos nuevos importando las doce frases de respaldo de los monederos afectados (que corresponden a claves privadas potencialmente comprometidas). Los usuarios deben primero actualizar sus monederos afectados (5.0.2-5.1.0) y luego enviar todos los fondos a un monedero totalmente nuevo en la versión 5.2.0, utilizando la función Enviar Max para iniciar transacciones de todos los fondos.”

Según el informe de GitHub, un usuario poco conocido llamado right9ctrl solicitó y obtuvo los derechos de publicación de la biblioteca de flujo de eventos (que se utiliza en el módulo Node.js de la aplicación Copay) de su anterior mantenedor, Dominic Tarr, quien admitió que ya no mantenía el repositorio y que no sospechaba del nuevo usuario de malintencionado.

En respuesta a la noticia, el creador de Dogecoin Jackson Palmer tuiteó ayer su preocupación de que "este es uno de los mayores problemas con los criptomonederos basados en JavaScript con fuertes dependencias de subida procedentes de NPM [gestor de paquetes de Node.js]. @BitPay esencialmente confió en todos los desarrolladores para que nunca inyectaran código malicioso en su monedero", ni "dejaran entrar a [un] atacante" inadvertidamente.

A principios de este otoño, Bitcoin Core publicó una actualización tras la detección de una vulnerabilidad en su software, un error que el copropietario de Bitcoin.org describió como "muy aterrador", con el potencial de haber "estrellado una gran parte de la red Bitcoin si era explotada por cualquier minero sin escrúpulos.”