热钱包被盗何时休！又是款知名钱包遭殃

本文转自：lubanso_blog

11月27日，国外一款热钱包Copay爆出严重安全漏洞。黑客利用该恶意代码获得(合法)访问热门JavaScript库，通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。

这个可以加载恶意程序的JavaScrip库叫做Event-Stream，非常受开发者欢迎，在npm.org存储库上每周下载量超过200万。但在三个月前，由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员Right9ctrl。Event-Stream，是一个用于处理Node.js流数据的JavaScript npm包。

根据Twitter、GitHub和Hacker News上用户反馈，该恶意程序在默认情况下处于休眠状态，不过当Copay启动（由比特币支付平台BitPay开发的桌面端和移动端钱包应用）之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息，并将其发送至copayapi.host的8080端口上。

目前已经确认9月至11月期间，所有版本的Copay钱包都被认为已被感染。今天早些时候，BitPay团队发布了Copay v5.2.2，已经删除Event-Stream和Flatmap-Stream依赖项。恶意的Event-Stream v3.3.6也已从npm.org中删除，但Event-Stream库仍然可用。这是因为Right9ctrl试图删除他的恶意代码，发布了不包含任何恶意代码的后续版本的Event-Stream。

被攻击者引入未经审计的恶意代码，影响范围包括目前广泛使用的最新版本5.0~5.1版。修复该问题的5.2版本仍未上架应用商店，用户资金存在严重安全风险。

数字货币钱包是存储和使用数字货币的一种工具，按照其使用时的联网状态，可以分为冷钱包和热钱包。 

而Copay作为典型的热钱包，它在使用的过程中，必须保持联网状态，也就是说，当你使用这样的热钱包保存和交易数字货币时，外界可以通过互联网访问到你存储私钥的位置。

为了完全避免此类安全漏洞，建议使用不联网的冷钱包。

LUBANSO X1硬件冷钱包，采用自主研发的可信操作系统LBTOS，深度嵌入金融级安全芯片，具备实时动态防护、多重认证等核心安全技术，能有效避免黑客的代码注入、非法探测、旁路攻击等情况而造成的意外损失，确保用户私钥的绝密性，为用户资产提供强有力的保障。

没有人能保证互联网绝对安全，把币放在冷钱包里面，切断网上联系，这样就算黑客也没有办法去攻击盗取你的币了。

本文转自：https://blog.lubanso.com/blog_id=360012562054

只接受各家硬件钱包文章，其他勿扰！