Diversas carteiras de Bitcoin foram comprometidas por um desenvolvedor
Desenvolvedor do GitHub faz alteração que compromete carteiras de Bitcoin
Um módulo Node.js chamado event-stream é utilizado em milhões de aplicações web, incluindo a carteira de Bitcoin open source da BitPay — Copay. Este módulo foi comprometido, graças ao que pode ser objetivamente referido como engenharia social, preguiça e incompetência.
Um usuário com pouca atividade em programação no GitHub solicitou direitos de publicação da biblioteca event-stream ao seu mantenedor anterior, Dominic Tarr, tendo este afirmado que não realizava a manutenção do repositório em anos e deu controle a um novo usuário, chamado right9ctrl.
A biblioteca event-stream é utilizada em muitas aplicações Node.js. De acordo com uma reclamação no GitHub, right9ctrl realizou uma ação furtiva para injetar um malware ou fez algo sem saber que teve o mesmo efeito, este sendo o vazamento de chaves privadas de aplicações que dependiam de módulos event-stream e copay-dash.
Ayrton Sparling escreveu:
“Ele acrescentou flatmap-stream, que é uma injeção com alvo na ps-tree (tem apenas um envio para o repositório, mas possui três versões, a última remove a injeção, sem manutenção, criada há três meses). Após, ele acrescentou que quase ao mesmo tempo em que a injeção foi acrescentada à flatmap-stream, ele subiu a versão e publicou. Ele fez um o segundo envio (três dias depois) após ele remover a injeção e colocar uma versão maior, de forma que ele pudesse limpar o repositório de uma flatmap-stream mas ainda afetar todo mundo utilizando 3.x (milhões de instalações semanais).”
Basicamente, o desenvolvedor atualizou o módulo com malware e então corrigiu o problema para evitar detecção, mas as pessoas que já haviam instalado permaneceram afetadas. Copay — cujo código open source é utilizado por diversas outras cripto aplicações — é apenas uma de muitas da biblioteca. O problema é que ela é obra de uma cripto empresa avaliada em milhões de dólares, o que levanta algumas questões.
Por que a BitPay utiliza bibliotecas upstream?
Aqueles alheios ao desenvolvimento open source podem entender erroneamente que tudo isso é feito de graça por questões ideais ou hobby, mas isso está longe de ser verdade. A maior parte do desenvolvimento open source, como Bitcoin Core ou trabalhos com Linux Kernel, por exemplo, é feito por desenvolvedores que são empregados por companhias de desenvolvimento de software.
Companhias como a Red Hat contribuem para códigos do Linux Kernel, e companhias como a Blockstream empregam desenvolvedores de Bitcoin Core. A razão é óbvia: embora eles pudessem simplesmente aguardar publicações e depender do trabalho de outras pessoas, essas companhias têm metas para atingir no desenvolvimento e, mais importante, têm dinheiro em jogo no desenvolvimento de kernel.
Esse modelo funciona na indústria do desenvolvimento de software. A BitPay não deveria estar utilizando um software de uma base como essa. Milhões de dólares em carteiras de clientes estão sendo confiadas à empresa, e não aos desenvolvedores. Se a BitPay não está interessada em desenvolver ativamente bibliotecas como a event-stream, então eles deveriam usar versões alternativas, verificando se cada atualização está segura. Em vez disso, conforme muitos entusiastas da cripto indústria afirmaram, eles demonstraram incompetência.
Fonte: CCN