Blockfolio тихо исправляет многолетнюю дыру в безопасности, которая раскрывала исходный код
Уязвимость безопасности, которая появилась в старых версиях приложения, могла позволить злоумышленнику украсть закрытый исходный код и, возможно, внедрить свой собственный код в репозиторий Blockfolio на Github, а оттуда — в само приложение.

«Белый» или этичный хакер обнаружил зияющую дыру вБлокфолио, популярное мобильное приложение для отслеживания и управления портфелем Криптовалюта . Уязвимость безопасности, которая появилась в старых версиях приложения, могла позволить злоумышленнику украсть закрытый исходный код и, возможно, внедрить свой собственный код в репозиторий Blockfolio на GitHub, а оттуда — в само приложение.
Исследователь по вопросам безопасности в компании Intezer, занимающейся кибербезопасностью,Пол Литвак, сделал Истории на прошлой неделе, когда решил проверить безопасность инструментов, связанных с криптовалютой, которые он использовал. Литвак занимается криптовалютами с 2017 года, когда он создавал ботов для торговли, а Blockfolio — это приложение для Android, которое он использовал для управления своим портфелем.
«После некоторого времени безрезультатного изучения их [нового] приложения я взглянул на старые версии приложения, чтобы посмотреть, смогу ли я найти какие-нибудь давно забытые Secret или скрытые веб-конечные точки», — сказал Литвак. «Вскоре я нашел это версия от 2017 годадоступ к API GitHub».

Этот код подключается к репозиторию Github компании с помощью набора констант, включающих имя файла и, что самое важное, ключ, который Github использует для разрешения доступа к репозиториям. Ниже он отображается как переменная «d».

Приложение запросило частные репозитории Blockfolio на GitHub, и эта функция просто загрузила часто задаваемые вопросы Blockfolio напрямую из GitHub, избавив компанию от необходимости обновлять их внутри своих приложений.
Но ключ опасен тем, что он может получить доступ и контролировать весь репозиторий GitHub. Поскольку приложению было три года, Литваку было интересно, представляет ли оно все еще угрозу.
«Это серьезно, но я подумал, что, возможно, это просто какой-то старый жетон, который больше не используется, с тех времен, когда они были запущены», — сказал Литвак.
Он обнаружил, что ключ все еще активен.

«И я обнаружил, что нет, токен все еще активен и имеет область действия OAuth «repo», — сказал он. «Область действия OAuth» используется для ограничения доступа приложения к учетной записи пользователя.
Согласно GitHub, «репозиторий» предоставляет полный доступ к частным и публичным репозиториям и включает в себя доступ на чтение/запись к коду, статусам коммитов и проектам организации, а также другие функции.
Читать дальше: Общественное Мнение о крупных технологиях и Политика конфиденциальности меняется во время пандемии
«Он использовал личные учетные данные для доступа к своему частному репозиторию кода», — сказал Литвак. «Любой, кто был достаточно любопытен, чтобы провести обратную разработку старого приложения Blockfolio, мог воспроизвести его и загрузить весь код Blockfolio и даже внедрить свой собственный вредоносный код в свою кодовую базу. Вы не должны иметь личные учетные данные в приложениях, которые может загрузить кто угодно».
Уязвимость была публичной в течение двух лет, и дыра все еще была открыта. Литвак сообщил Blockfolio о проблеме через социальные сети, поскольку у Blockfolio нет программы вознаграждений за ошибки для устранения уязвимостей.
Соучредитель и генеральный директор Blockfolio Эдвард Монкада подтвердил в электронном письме CoinDesk , что токен доступа GitHub был по ошибке оставлен в предыдущей версии кодовой базы приложения Blockfolio, и когда компания узнала об уязвимости, она отозвала доступ к ключу.
Moncada сообщил, что в течение следующих нескольких дней Blockfolio провела аудит своих систем и подтвердила, что никаких изменений не было. Учитывая, что токен предоставлял доступ к коду, который был отделен от базы данных, в которой хранились пользовательские данные, пользовательские данные не подвергались риску.
Токен позволяет кому-либо изменять исходный код, но, по словам Монкады, благодаря внутренним процессам внесения изменений в систему не существует риска, что вредоносный код будет передан пользователям.
«Я бы сказал, что в худшем случае злоумышленник обновит код приложения и соберет данные о пользователях. У них также есть функция, с помощью которой вы помещаете ключи API обмена в приложение, так что их тоже можно украсть», — сказал Литвак. «Но они [Blockfolio] утверждают, что это невозможно из-за их «обзоров безопасности». Я бы сказал, что лучше, чтобы никто не тестировал эти обзоры безопасности».
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
Digital assets posted a third consecutive quarter of losses in Q2 2026, the longest losing streak since the 2022 bear market, as institutional capital rotated into AI equities and Bitcoin ETFs recorded their largest quarterly outflow since launch. Our report examines what drove the divergence, where structural adoption continued regardless, and what Q3 signals to watch.
Digital assets posted a third consecutive quarter of losses in Q2 2026, the longest losing streak since the 2022 bear market, as institutional capital rotated into AI equities and Bitcoin ETFs recorded their largest quarterly outflow since launch. Our report examines what drove the divergence, where structural adoption continued regardless, and what Q3 signals to watch.
Почему это важно:
Digital assets posted a third consecutive quarter of losses in Q2 2026, the longest losing streak since the 2022 bear market, as institutional capital rotated into AI equities and Bitcoin ETFs recorded their largest quarterly outflow since launch. Our report examines what drove the divergence, where structural adoption continued regardless, and what Q3 signals to watch.

ИИ обнаружил ошибку в Ethereum, которая могла вывести валидаторов из строя, но для подтверждения этого потребовалась проверка людьми

Прямые трансляции: Биткойн поднимается до $64 000 на фоне открытия торгов SK Hynix после IPO на $26,5 млрд



