知名比特币钱包Copay被供应链攻击的一些思考

这些想法曾发在“慢雾区”的知识星球上，也同步在这里：

Bitpay的Copay被针对供应链攻击事件的来龙去脉，下面分析的很不错，攻击手法也很辣。 虽然EventStream被污染了，但是直接或间接依赖这个模块的大量其他模块也可能受到影响（这个数量大概有3900个，包括很多知名的项目），但是最终只有Copay被针对，也就是说即使有这个后门，也不会被触发。

文章：事件流漏洞解释

关联：

为什么只有Copay被攻击，看了文中分析的代码就知道了：后门核心代码是AES256加密，是对称加密，解密使用环境变量npm_package_description，这个环境变量只能等于Copay的相关价值成功解锁。 这想法确实很下流，难怪藏了两个多月。 如果不是因为其他地方的一些不小心导致被人察觉，恐怕Copay用户要惨了。 毕竟Copay真的很有名比特币在线钱包，我什至在我的研究中使用过它，比如它的比特币和比特币现金的多重签名方案......

该后门攻击Copay的行为可参考NPM官方分析：

此代码将执行以下操作：

1.检测当前环境：Mobile/Cordova/Electron

2. 检查受害者共付额账户上的比特币和比特币现金余额

3. 如果当前余额大于 100 比特币比特币在线钱包，或 1000 比特币现金：

*。 完整获取受害者的账户数据

*。 获取受害者的共付额私钥

*。 将受害者的帐户数据/私钥发送到运行在 111.90.151.134 上的收集服务。

太可怕了。

供应链攻击是一种非常可怕的攻击方式，在防御方面也没有很好的解决方案。 毕竟在现在的软件工程中，各种包/模块的依赖过于频繁和普遍，开发者不会都去一个。 一旦检查，默认情况下这些包管理器是过度信任的，这使得这种攻击成为必备攻击之一。 业界将这种攻击称为供应链攻击，就是为了说明这种攻击是一种依赖关系。 一条链中任何一个环节被感染，都会导致该链之后的所有环节出现问题。 我们也在努力开发针对供应链攻击的解决方案。 如果您需要任何合作，请随时与我们联系。

最后再次强烈推荐：所有数字货币相关的项目（如交易所、钱包、DApps等）都应该强制至少有一个核心技术全面审核所有第三方模块，看看有没有可疑代码，还可以抓包中是否有可疑请求。 供应链攻击不惜一切代价，数字货币依然炙手可热。

推荐大家加入慢雾区，慢雾区只关注区块链生态安全，不定期会推送区块链生态安全相关的资讯和知识。 最重要的是：它目前是免费的。 扫描下方二维码加入。