据Cointelegraph 11月27日报道，加密货币支付处理商BitPay的开源比特币钱包Copay遭受了恶意代码侵害，BitPay用户在官方博客上发布了一份紧急建议。

图片来源的：visualhunt

该漏洞出现在被称为event stream的第三方模块Node.js中，event stream在BitPay的Copay钱包和BitPay应用程序5.0.2至5.1.0版中使用。根据GitHub的问题报告，这个模块被修改为可以加载能够窃取用户私钥的恶意软件。

BitPay的文章指出，BitPay应用程序不会受到恶意代码的攻击，但其团队正在调查该漏洞是否被利用来攻击了任何CoPay用户。

该公司向用户提出了一些建议，称任何使用Copay 5.0.2至5.1.0版本的用户“都不应该运行或打开该应用程序”。该公司已经在5.2.0版本中发布了安全更新，该版本即将在应用商店发布。

该公司还警告说，受影响版本的用户应该假定他们的私钥可能已经被泄露，因此应该立即将所有财产转移到新的、安全的5.2.0版钱包中:

“用户不应该试图通过导入受影响的钱包中的12个单词备份短语（对应于可能被泄露的私钥）来将资金转移到新的钱包。用户应该首先更新其受影响的钱包（5.0.2-5.1.0版），然后将所有资金从受影响的钱包发送到5.2.0版本的全新钱包，通过使用Send Max特性来启动所有资金的交易。”

根据GitHub问题报告，一个名叫right9ctrl的不出名用户从其以前的维护者Dominic Tarr那里请求并被授予event-stream存储库（在Copay应用程序的Node.js模块中使用）的发布权限，Dominic Tarr承认他不再维护存储库，但他并没有怀疑新用户的恶意行为。

狗狗币的创始人杰克逊•帕尔默(Jackson Palmer)昨日在推特上对这一消息作出了回应并表达了他的担忧：

“这是基于javascript的加密货币钱包的一个主要问题，这些钱包对上游的NPM[Node.js包管理器]有严重的依赖性。@BitPay本质上信任所有上游开发人员从不将恶意代码注入他们的钱包”，也不会在不经意间“让攻击者进来”。

今年秋天早些时候，比特币核心钱包(Bitcoin Core)在检测到其软件中的漏洞之后发布了一项更新，Bitcoin.org的共同所有者称该漏洞“非常可怕”，如果被任何流流氓矿工利用，将导致比一大部分的比特币网络崩溃。