仮想通貨決済サービス企業ビットペイは11月26日、公式ブログの中で、セキュリティ侵害が報告されていたオープンソースのビットコインウォレット「Copay」の脆弱性についてユーザー向けに注意喚起を発表した。

今回発見されたセキュリティ上の脆弱性は「イベントストリーム」と呼ばれ、ビットペイのCopayとビットペイアプリのバージョン5.0.2~5.1.0に利用されている第三者Node.jsモジュールに関連するものだという。GitHubによると、ユーザーのプライベートキーを盗むことのできるマルウェアをロードするようにモジュールが変更されていたようだ。

ビットペイ社の投稿には、ビットペイ・アプリには問題となっている悪質なコードに対する脆弱性はなかったが、Copayユーザーに対して脆弱性が悪用されなかったかを同社チームが調査している、としている。

また、コペイのバージョン5.0.2~5.1.0を使用しているユーザーは「アプリを実行したり、開いたりするべきではない」と述べている。同社はバージョン5.2.0でセキュリティーアップデートをリリースしており、AppStoreでのリリースも目前だ。

同社はさらに、影響を受けたバージョンのユーザーに対して、プライベートキーが被害を受けたと「想定するべき」であり、保有している仮想通貨をすべて安全なバージョン5.2.0のウォレットに「即座に」移す必要がある、と警告している。

「ユーザーは影響を受けたウォレットの12文字のバックアップフレーズ(被害を受けた可能性のあるプライベートキーに連動している)をインポートして新しいウォレットに資産を移そうとするべきではない。ユーザーはまず、影響を受けたウォレット(5.0.2〜5.1.0)をアップデートし、それから、センド・マックス機能を利用してすべての資産の取引を開始することで、影響を受けたウォレットからバージョン5.2.0の新しいウォレットに資産をすべて移す必要がある。」

今回の件について、ドージコインの生みの親であるジャクソン・パルマー氏は「NPM(Node.jsパッケージ・マネジャー)への依存するジャバスクリプトベースの仮想通貨ウォレットに見られる重大な問題の1つ」としている。