Copayの一部バージョンに復元フレーズ盗む脆弱性

Copayを開発・保守するBitPayが、Copayのv5.0.2-v5.1.0にかけて、秘密鍵の復元フレーズを不正送信するプログラムが含まれていたと発表した。Copayが使用していた依存パッケージ”event-stream@3.3.6″が改ざんされていた。攻撃者のメンテナーとして”event-stream@3.3.6″のオーナー権を獲得した後、依存する”flatmap-stream@0.1.1″を追加。”flatmap-stream@0.1.1″にはCopayの通信を識別し復号化されたフレーズを送信するコードが含まれていた（Github）。BitPayは影響を受けるバージョンのウォレットを直ちにアップデートし、新しいウォレットを作成した後、旧ウォレットから全額送信して移行するよう呼びかけている。また、絶対に鍵をエクスポートしないよう警告した。（参照元）

引用元： ビットコインニュース