ビットコイン・ウォレットCopayに重大な脆弱性、Katakotoさんが慌ててハードウェア・ウォレットに移行する話

ウォレットはたくさん持ってるけど、保管する資産は持ってないでおなじみのkatakotoさんのもとに、今朝一通のお手紙が届いておりました。

なんでもbitpay社が手掛けるモバイルウォレットアプリCopayのコードの一部に、保有者のビットコインを盗み出すための悪質なバックドアが仕掛けられていたとの事。

Copayと言えば、それなりに実績もあって日本語対応している事から日本語の情報サイトでもおすすめとして使い方が紹介されたりしている人気ソフト。

なんで、こんな事になってしまうん？

そこにはオープン・ソース・プロジェクトに潜む危険性が。
Linuxに始まるこの世界中の誰もがコード開発に参加でき、ソースコードの自由な再利用が認められているオープンソース運動では、当然参加者の中にいるバッドアクターを排除する事が難しい。

今回のケースでは、とあるライブラリ（使いまわしの効くプログラム群）のメンテナンスができなくなったある管理者が、見知らぬユーザーにしばらく管理を預けてしまっており、そいつがいわゆるバッドアクターで秘密鍵を盗み出すコードを埋め込んだのが原因との事です。

問題なのは、このライブラリ、広く他のウォレットアプリの開発でも使用されている可能性がある事なのです。

とりあえずCopayでこのコードの影響を受けるのはv5.0.2-5.1.0らしいので、慌ててウォレットを確認した所、何という事でしょう！katakotoさんの資産がゼロに！（元からでした）そしてバージョンは5.1.1でした！（元からリスク０でした）

Linuxのように不特定多数の誰もが自由に参加できるプロジェクトだからこそ、多くの恩恵がもたらされてきたオープンソース・プロジェクトが、デジタル資産に関わるプロジェクトにも当たり前のように利用されるようになった今、こうした負の貢献者たちにどのように対応していくのか、自身の資産を守る上でも、注視して行く必要がありそうです。ここでも必要とされる信頼の可視化！

とりあえず、Copay使ってた人は早急にアップグレードしましょう！

そんなわけで、保管する資産を持ってないはずのkatakotoさんが、こないだのブラックフライデーになぜだか初めてのハードウェア・ウォレットTREZORを購入しましたので、届き次第katakotoさんによる「Trezorで大切な資産を守ろう！（だから保管する資産を持ってないんだって！（怒）でもALISトークンならいっぱい持ってるよ（微笑）頑張って記事を書いたら貰えたんだ（破顔）」シリーズの連載を開始いたします。

参考