کیف پول‌های بیت کوین توسط یک توسعه دهنده‌ متخلف به خطر افتادند

یک ماژول Node.js که پخش رویداد (event-stream) نامیده می‌شود در میلیون‌ها اپلیکیشن وب، از جمله کوپی (Copay)، کیف پول بیت کوین متن باز Bitpay مورد استفاده قرار می‌گیرد و طبق گزارشات این ماژول به لطف آنچه که مهندسی اجتماعی، تنبلی و بی‌کفایتی نامیده می‌شود، دچار تغییر شده است.

0 79

یکی از کاربران که فعالیت زیادی در گیت‌‌هاب دارد، از دومینیک تار (Dominic Tarr)، نگهدارنده‌ی قبلی کتابخانه‌ی پخش رویداد که گفته است که در سال‌های گذشته از مخزن نگهداری نکرده است و کنترل آن را به کاربر جدیدی به نام right9ctrl داده‌، درخواست حق انتشار کرد.

کتابخانه‌ پخش رویداد در بسیاری از اپلیکیشن‌های Node.js استفاده می‌شود. طبق گفته‌ی یکی از شاکیان در گیت‌هاب، نگهدارنده‌ی جدیدright9ctrl یا به طور زیرکانه‌ای اقدام به نفوذ بدافزارها کرده است یا به طور ناخودآگاه چنین اثری گذاشته است؛ منظور از این اثر، افشای کلیدهای خصوصی اپلیکیشن‌هایی است که هم به پخش رویداد و هم به ماژول کوپی-دش متکی هستند.

آیرتون اسپارلینگ (Ayrton Sparling) نوشت:

او جریان مسطحی را که ( یکی از این جریان‌ها به مخزن اضافه می‌شود اما در واقع 3 نسخه دارد، آخرین نسخه نفوذ را حذف می‌کند، نگهداری نمی‌شود و بیش از 3 ماه پیش ساخته شده است) یک ps-tree متمرکز بر نفوذ است اضافه کرد. پس از اینکه همزمان با اضافه شدن نفوذ به جریان مسطح، آن را اضافه می‌کند، ‌نسخه را حذف و منتشر می‌کند. در واقع دومین جریان (3 روز بعد) بعد از آن اضافه می‌شود که وی نفوذ را حذف می‌کند و یک نسخه اصلی را از دور خارج می‌کند تا بتواند مخزن را از جریان‌های مسطح پاکسازی کند، اما هنوز هم همه از 3.x استفاده می‌کنند (هر هفته میلیون‌ها بار نصب می‌شود).

اساسا، توسعه دهنده ماژول را با بدافزار بروز رسانی کرد و سپس مشکل را برای جلوگیری از شناسایی پچ کرد تا شناسایی نشود، اما تعداد زیادی از افرادی که قبلا آن را نصب کرده‌اند، همچنان تحت تاثیر این بدافزارند. کوپی – که کد متن باز آن توسط بسیاری از اپلیکیشن‌های کریپتو استفاده می‌شود – تنها یکی از این کتابخانه‌هاست، اما بوسیله‌ یک شرکت پردازش پرداخت بیت کوین چند میلیون دلاری-Bitpay – ساخته شده و نگهداری می‌شود و این موضوع موجب ابهاماتی راجع به این شرکت می‌شود.

چرا Bitpay از کتابخانه‌های پیش ساخته استفاده می‌کند؟

bitpay

ممکن است کسانی که با توسعه‌ متن باز سروکار ندارند به اشتباه تصور کنند که این کار به دلیل آرمان‌ گرایی یا محض سرگرمی به صورت رایگان انجام میشود، اما چنین چیزی در این مورد درست نیست. اکثر توسعه‌های منبع باز بزرگ و مهم، مثل کار روی Bitcoin Core یا کار روی لینوکس کرنل، توسط توسعه دهندگانی انجام می‌شوند که در شرکت‌های فعال در زمینه‌ توسعه‌ی چنین نرم افزارهایی مشغول به کارند.

شرکت‌هایی مانند رد هت (Red Hat) کد را با لینوکس کرنل شریک می‌شوند و شرکت‌هایی مانند بلاک‌استریم (Blockstream) توسعه دهندگان Bitcoin Core را استخدام می‌کنند. دلیل این امر واضح است: این شرکت‌ها می‌توانند در حالیکه به راحتی منتظر انتشار هستند یا به کار دیگران تکیه دارند،‌ روی توسعه تمرکز کنند و مهمتر از همه، با فعالیت در توسعه‌ کرنل پول زیادی دربیاورند.

این مدل برای توسعه نرم افزار بزرگ کار می‌کند و این نویسنده معتقد است که هیچ دلیلی وجود ندارد که در اینجا قابل استفاده نباشد. طبق قانون، Bitpay به هیچ وجه نباید از نرم افزار استفاده کند. میلیون‌ها دلار پولی موجود در کیف پول کلاینت به آنها سپرده می‌شود، نه به توسعه دهندگان بالادست. اگر Bitpay مانند پخش رویداد به فعال کردن کتابخانه‌ها علاقه‌مند نیست، بنابراین باید از نسخه‌های فورک شده استفاده کند تا مطمئن شود که همه‌ی بروزرسانی‌ها امن هستند. اما در عوضِ اینکه چنین کاری انجام دهد، همانطور که بسیاری از سهامداران این صنعت گفتند، از خود بی‌کفایتی نشان داده است.

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.