事件回顾：

• 9 月 9 日，每周 200 万下载量的「event-stream」NodeJS 模块中，一个正常的「flatmap-stream」被合并到代码库；
• 10 月 5 日，「flatmap-steam」代码被更新，并夹带了经过混淆的恶意代码。代码审查人员没有仔细检验，就将其合并到代码库。
• 11 月 26 日 ，加州大学生 发现BitPay 的 Copay 钱包使用的「event-stream」中的混淆恶意代码会在该环境被触发，从而盗取钱包中的比特币。（该恶意代码目前已经被修复）

这个攻击手段，和 2010 年专门用于针对伊朗核电站的 Stuxnet 病毒可谓异曲同工。 Stuxnet 会使特定的西门子 PLC 控制芯片触发，进而可以引发核电站爆炸等严重后果。

BitPay 官方通告 称，使用 Copay 钱包 versions 5.0.2 到 5.1.0 的用户受到了后门影响，使用这些版本的用户应该假定他们的私钥已经被窃取了，需要尽快升级到 5.2.0 版本。

开源代码被埋雷，盗窃比特币的恶意代码居然在群众雪亮的眼睛下，从 10 月份隐藏至今！

对此，前 FireEye 资深工程师、AnChain.ai 架构师 Richard Lai 博士评论到：这是开源存在的问题，维护代码的人必须是值得信赖的。

这是 AnChain.ai 区块链三大永恒主题中「代码安全」的一个真实案例。随着代码日益复杂，开源社区也有疏忽之时。

AnChain.ai 团队一直奋战在区块链安全第一线： 从 8 月份曝光以太坊 BAPT-FOMO3D 黑客军团， 到 11 月份帮助世界排名前 5 的 EOS DApp 设计安全架构重新安全上线，我们监测到针对交易所、DApp 项目方的攻击越来越多。区块链安全三大永恒主题： 交易、代码、基建，只有全面防护才是安全王道。