Alertando sobre los hecho después de su descubrimiento, BitPay anunció sobre la vulnerabilidad divisada en las recientes actualizaciones de sus aplicaciones, destacando cómo está en marcha una investigación destinada a encontrar el daño que pudo haber ocasionado la explotación del código modificado.
Concretamente el intento de ataque pudo transcurrir seguido de que un presunto desarrollador llamado Right9ctrl obtuviera acceso a una librería NodeJS de los servicios que estaba pendiente de mantenimiento, la cual fue modificada y utilizada como caballo de troya para introducir dentro de las aplicaciones una brecha que permitiera robar criptomonedas a los usuarios de estas plataformas.
Rápida acción y respuesta marcando la diferencia
Para fortuna de los usuarios de los servicios de BitPay, el equipo detrás del proyecto se puso en marcha seguido del descubrimiento de la vulnerabilidad, dejando como consecuencia una nueva actualización (v5.2.0) destinada a cubrir el código modificado encontrado en versiones que van desde la 5.0.2 y 5.1.0. 
El comunicado resalta cómo la aplicación de BitPay no presenta ninguna vulnerabilidad al código modificado por el tercero, y hasta que sea verificada en su totalidad la situación en Copay, sus usuarios deberán dar por sentado que la información de sus cuentas se vio vulnerada y deberán actuar con medidas preventivas para evitar que sus activos se vean comprometidos. Usuarios de Copay y BitPay fueron llamados a migrar a wallets construidas sobre la nueva actualización, debiendo actualizar sus wallets existentes antes de realizar la transferencia de los activos mediante la función Send Max con el fin de evitar algún vínculo entre las viejas billeteras con llaves privadas posiblemente comprometidas y las nuevas.
Posible lección para la posteridad
Desarrolladores de la comunidad cripto como Jason Palmer, creador de Dogecoin, hicieron mención de los hechos como “una de la mayores problemáticas” presentadas dentro de los proyectos con mucha dependencia del envío de parches realizados por terceros que llegarán para ser revisados y añadidos al código fuente del proyecto. En este caso Palmer resalta cómo Bitpay confió que terceros no introducirán códigos maliciosos destinados a hacerse con los activos de los usuarios. Por los momentos es desconocido si algún usuario de Copay se vio afectado por el código malicioso, y esperamos que este acontecimiento solo quede como una enseñanza significativa para la compañía y todos los desarrolladores que formar parte de ella.
¿Qué opinas de este tipo de ataques? ¿Crees que deban ser tomadas acciones contra el desarrollador que le permitió el acceso al actor malicioso? Comparte con nosotros tus opiniones más abajo en la sección de comentarios.
Comentarios
