Поделиться этой статьей
Blockfolio тихо исправляет многолетнюю дыру в безопасности, которая раскрывала исходный код
Уязвимость безопасности, которая появилась в старых версиях приложения, могла позволить злоумышленнику украсть закрытый исходный код и, возможно, внедрить свой собственный код в репозиторий Blockfolio на Github, а оттуда — в само приложение.
Автор Benjamin Powers, John Biggs
«Белый» или этичный хакер обнаружил зияющую дыру вБлокфолио, популярное мобильное приложение для отслеживания и управления портфелем Криптовалюта . Уязвимость безопасности, которая появилась в старых версиях приложения, могла позволить злоумышленнику украсть закрытый исходный код и, возможно, внедрить свой собственный код в репозиторий Blockfolio на GitHub, а оттуда — в само приложение.
Продолжение Читайте Ниже
Исследователь по вопросам безопасности в компании Intezer, занимающейся кибербезопасностью,Пол Литвак, сделал Истории на прошлой неделе, когда решил проверить безопасность инструментов, связанных с криптовалютой, которые он использовал. Литвак занимается криптовалютами с 2017 года, когда он создавал ботов для торговли, а Blockfolio — это приложение для Android, которое он использовал для управления своим портфелем.
«После некоторого времени безрезультатного изучения их [нового] приложения я взглянул на старые версии приложения, чтобы посмотреть, смогу ли я найти какие-нибудь давно забытые Secret или скрытые веб-конечные точки», — сказал Литвак. «Вскоре я нашел это версия от 2017 годадоступ к API GitHub».
Этот код подключается к репозиторию Github компании с помощью набора констант, включающих имя файла и, что самое важное, ключ, который Github использует для разрешения доступа к репозиториям. Ниже он отображается как переменная «d».
Приложение запросило частные репозитории Blockfolio на GitHub, и эта функция просто загрузила часто задаваемые вопросы Blockfolio напрямую из GitHub, избавив компанию от необходимости обновлять их внутри своих приложений.
Но ключ опасен тем, что он может получить доступ и контролировать весь репозиторий GitHub. Поскольку приложению было три года, Литваку было интересно, представляет ли оно все еще угрозу.
«Это серьезно, но я подумал, что, возможно, это просто какой-то старый жетон, который больше не используется, с тех времен, когда они были запущены», — сказал Литвак.
Он обнаружил, что ключ все еще активен.
«И я обнаружил, что нет, токен все еще активен и имеет область действия OAuth «repo», — сказал он. «Область действия OAuth» используется для ограничения доступа приложения к учетной записи пользователя.
Согласно GitHub, «репозиторий» предоставляет полный доступ к частным и публичным репозиториям и включает в себя доступ на чтение/запись к коду, статусам коммитов и проектам организации, а также другие функции.
Читать дальше: Общественное Мнение о крупных технологиях и Политика конфиденциальности меняется во время пандемии
«Он использовал личные учетные данные для доступа к своему частному репозиторию кода», — сказал Литвак. «Любой, кто был достаточно любопытен, чтобы провести обратную разработку старого приложения Blockfolio, мог воспроизвести его и загрузить весь код Blockfolio и даже внедрить свой собственный вредоносный код в свою кодовую базу. Вы не должны иметь личные учетные данные в приложениях, которые может загрузить кто угодно».
Уязвимость была публичной в течение двух лет, и дыра все еще была открыта. Литвак сообщил Blockfolio о проблеме через социальные сети, поскольку у Blockfolio нет программы вознаграждений за ошибки для устранения уязвимостей.
Соучредитель и генеральный директор Blockfolio Эдвард Монкада подтвердил в электронном письме CoinDesk , что токен доступа GitHub был по ошибке оставлен в предыдущей версии кодовой базы приложения Blockfolio, и когда компания узнала об уязвимости, она отозвала доступ к ключу.
Moncada сообщил, что в течение следующих нескольких дней Blockfolio провела аудит своих систем и подтвердила, что никаких изменений не было. Учитывая, что токен предоставлял доступ к коду, который был отделен от базы данных, в которой хранились пользовательские данные, пользовательские данные не подвергались риску.
Токен позволяет кому-либо изменять исходный код, но, по словам Монкады, благодаря внутренним процессам внесения изменений в систему не существует риска, что вредоносный код будет передан пользователям.
«Я бы сказал, что в худшем случае злоумышленник обновит код приложения и соберет данные о пользователях. У них также есть функция, с помощью которой вы помещаете ключи API обмена в приложение, так что их тоже можно украсть», — сказал Литвак. «Но они [Blockfolio] утверждают, что это невозможно из-за их «обзоров безопасности». Я бы сказал, что лучше, чтобы никто не тестировал эти обзоры безопасности».
Больше для вас
Что нужно знать:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Больше для вас
ZKsync Lite to Shut Down in 2026 as Matter Labs Moves On
The company framed the move, happening in early 2026, as a planned sunset.
Что нужно знать:
- Matter Labs plans to deprecate ZKsync Lite, the first iteration of its Ethereum layer-2 network, the team said in a post on X over the weekend.
- The company framed the move, happening in early 2026, as a planned sunset for an early proof-of-concept that helped validate their zero-knowledge rollup design choices before newer systems went live.
Главное
