Cам сервис BitPay оказался вне досягаемости хакеров, но вредоносный код, вживленный в одну из библиотек JavaScript, действительно способен воровать приватные ключи пользователей кошелька-приложения Copay.
Как говорится в сообщении в блоге компании, категория риска — пользователи, установившие версии кошелька Copay от 5.0.2 до 5.1.0 и некоторые другие приложения сервиса. Возможный ущерб от действий злоумышленников устанавливается.
Пользователям, уставившим версии Copay в указанном диапазоне, рекомендуется не запускать их — к их услугам выпущенная и доступная для скачивания исправленная версия 5.2.0. Скачав исправленную версию, лучше переместить средства на новые кошельки, причем чем скорее, тем лучше.
Рекомендуемый компанией алгоритм — обновить кошельки предположительно уязвимых версий до версии 5.2.0, а затем переместить на новые кошельки этой версии средства с них, используя функцию Send Max. Компания не ссоветует пользователям переводить средства на новые кошельки, импортируя сид-фразы со старых кошельков, поскольку они предположительно могут ассоциироваться со скомпрометированными приватными ключами.
Подобные новости никогда не бывают приятными для провайдера, но в случае с Bitpay произошедшее особенно некстати. Буквально накануне компания стала официальным посредником в модели, позволяющей властям американского штата Огайо объявить о возможности платить часть налогов в биткоине.
Налогоплательщики, желающие оплатить свои налоговые платежи в крипте, должны переводить ее BitPay, которая затем конвертирует полученные средства в доллары и переводит их на счета казначейства штата.
