Share this article
Blockfolio тихо виправляє багаторічну діру в безпеці, яка розкрила вихідний код
Уразливість безпеки, яка з’явилася в старіших версіях програми, могла дозволити зловмисникам викрасти закритий вихідний код і, можливо, вставити свій власний код у репозиторій Github Blockfolio, а звідти – у саму програму.
Updated Sep 14, 2021, 8:35 a.m. Published May 1, 2020, 8:55 p.m.
«Білий капелюх», або етичний хакер, знайшов зяючу діру Блокфоліо, популярний мобільний додаток для відстеження та керування портфелем Криптовалюта . Уразливість безпеки, яка з’явилася в старіших версіях програми, могла дозволити зловмисникам викрасти закритий вихідний код і, можливо, вставити свій власний код у репозиторій GitHub Blockfolio, а звідти – у саму програму.
Продовження Нижче
Дослідник безпеки в компанії з кібербезпеки Intezer, Павло Литвак, зробив це Цікаве минулого тижня, коли вирішив переглянути безпеку інструментів, пов’язаних із криптовалютою, які він використовував. Литвак займається криптовалютами з 2017 року, коли створював ботів для трейдингу, а Blockfolio — це додаток для Android, який він використовував для управління своїм портфелем.
«Після деякого часу безрезультатного перегляду їхньої [нової] програми я переглянув старіші версії програми, щоб побачити, чи зможу я знайти якісь давно забуті Secret або приховані кінцеві точки в Інтернеті», — сказав Литвак. «Незабаром я знайшов це версія з 2017 року отримати доступ до API GitHub».
Цей код підключається до репозиторію Github компанії за допомогою набору констант, які включають ім’я файлу та, що найважливіше, ключ, який Github використовує для надання доступу до сховищ. Вона відображається нижче як змінна «d».
Програма запитувала приватні репозиторії GitHub Blockfolio, і ця функція просто завантажувала поширені запитання Blockfolio безпосередньо з GitHub, позбавляючи компанію необхідності оновлювати їх у своїх програмах.
Але ключ небезпечний тим, що він може отримати доступ до цілого сховища GitHub і контролювати його. Оскільки додатку було три роки, Литваку стало цікаво, чи він досі є загрозою.
«Це серйозно, але я подумав, що, можливо, це просто якийсь старий токен, який більше не використовується, з того часу, коли вони були запущені», — сказав Литвак.
Він виявив, що ключ все ще активний.
«І я виявив, що ні, токен все ще активний і має «репо» область OAuth», — сказав він. «Область OAuth» використовується для обмеження доступу програми до облікового запису користувача.
«Репо», згідно з GitHub, надає повний доступ до приватних і загальнодоступних репозиторіїв і включає доступ для читання/запису до коду, статусів фіксації та організаційних проектів, серед інших функцій.
Читайте також: Зміни громадської Погляди щодо великих технологій і Політика конфіденційності під час пандемії
«Він використовував приватні облікові дані для доступу до свого приватного сховища коду», — сказав Литвак. "Будь-хто, кому було достатньо цікаво розробити стару програму Blockfolio, міг відтворити її, завантажити весь код Blockfolio і навіть вставити власний шкідливий код у свою кодову базу. Ви не повинні мати приватні облікові дані в програмах, які кожен може завантажити".
Уразливість була публічною протягом двох років, і діра все ще була відкритою. Литвак попередив Blockfolio про проблему через соціальні мережі, враховуючи, що Blockfolio не має програми винагороди за помилки для викорінення вразливостей.
Співзасновник і генеральний директор Blockfolio Едвард Монкада підтвердив в електронному листі CoinDesk , що маркер доступу GitHub був помилково залишений у попередній версії кодової бази додатка Blockfolio, і, отримавши сповіщення про вразливість, Blockfolio скасував доступ до ключа.
Протягом наступних кількох днів Moncada повідомила, що Blockfolio провела аудит своїх систем і підтвердила, що жодних змін не було внесено. Оскільки токен надавав доступ до коду, який був окремим від бази даних, де зберігаються дані користувача, дані користувача не були під загрозою.
Маркер дозволить комусь змінювати вихідний код, але завдяки внутрішнім процесам публікації змін у системі Moncada стверджує, що ніколи не було ризику, що шкідливий код буде опубліковано користувачам.
"Я б сказав, що в найгіршому випадку зловмисник оновить код програми та збере дані про користувачів. У них також є функція, за допомогою якої ви розміщуєте ключі API для обміну в програмі, щоб їх також можна було вкрасти", - сказав Литвак. «Але вони [Blockfolio] стверджують, що це неможливо через їхні «перевірки безпеки». Я б сказав, що краще, щоб ніхто не тестував ці перевірки безпеки».
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Solana’s Drift запускає версію v3 з торгівлею у 10 разів швидшою
За версією v3, команда стверджує, що приблизно 85% ринкових ордерів буде виконано менше ніж за півсекунди, а ліквідність поглибиться настільки, що проскальзування на більших угодах знизиться приблизно до 0,02%.
What to know:
- Drift, одна з найбільших платформ для торгівлі perpetuals на Solana, запустила Drift v3 — важливе оновлення, яке має зробити торгівлю на блокчейн такою ж швидкою та плавною, як і використання централізованої біржі.
- Нова версія забезпечить у 10 разів швидше виконання угод завдяки переробленій бекенд-частині, що є найбільшим стрибком у продуктивності, якого проект досяг досі.
Головне
