ビットコインのウォレットサービスを提供するCopayは、アプリの一部のバージョンで脆弱性が発見されたことを発表した。脆弱性があったバージョンは5.02〜5.10で、Copayはユーザーに対し最新バージョンの5.2.0へアップデートするよう呼びかけている。

Copayのプログラムの一部にはnpmからダウンロードしたコードが含まれており、このコードに脆弱性が含まれていた。npmはJavaScriptのパッケージマネージメントを行っているサイトで、開発者は目的にあったライブラリをダウンロードしソフトウェアの開発に活用する。

脆弱性が仕込まれていたのは、event-streamと呼ばれるツールキットでCopayウォレットにも使用されていた。event-streamのコードはGithub上で公開されているが、npmでダウンロードできるコードとは異なるものであった。

event-streamのコードはdominictarr氏によって管理されていた。しかし、dominictarr氏はevent-streamを何年も活用していなかったことから、今年の9月にright9ctrlと名乗るGithubユーザーへ管理権限を譲渡していた。このユーザーがevent-streamのコードに脆弱性を埋め込んだハッカーであると推測されている。

今のところCopayウォレットを活用していたユーザーのビットコインが実際に盗まれたといった被害報告はない。しかしevent-streamはCopay以外のプロジェクトにも活用されているため、別のウォレットソフトウェアから被害が発生する可能性がある。

Copayは今回対象となったバージョンのウォレットを利用していたユーザーの秘密鍵はハッカーに知られている可能性が高いと警鐘を鳴らしている。ユーザーはウォレットアプリを最新バージョンへアップデートし、新たに生成したアドレスにビットコインを送金する必要がある。

インターネット上で公開されているオープンソースコードの活用は開発者にとっては、プロジェクトを土台から作り始めることがなくなり開発速度も上がるため非常に便利だ。一方、今回報告されたような脆弱性が潜んでいるリスクもあるため、無条件に信用することはできない。

特にCopayのような顧客の資産を預かるウォレットソフトウェアにオープンソースコードを活用する際はより細心の注意が求められる。さらにコードの管理者がどのような人物で、どのようなプロジェクトに関わってきたのかなどの経歴を調べる必要もありそうだ。

Bitpay Blog

引用元： ビットコインニュース