В коде биткоин-кошелька Electrum нашли уязвимость, с помощью которой можно перехватить секретные ключи пользователей, а значит и украсть биткоины. Первым проблему заметил один из пользователей GitHub под...
В коде биткоин-кошелька Electrum нашли уязвимость, с помощью которой можно перехватить секретные ключи пользователей, а значит и украсть биткоины.
Первым проблему заметил один из пользователей GitHub под ником jsmad еще в ноябре прошлого года. Однако, разработчики кошелька всерьез обратили внимание на уязвимость только после еще одного указания - от Тевиса Орманди из Google Project Zero. Обнаружив баг 6 января, Тевис увидел, что об уязвимости уже сообщали ранее. Он обратился к разработчикам, подчеркнув опасность проблемы.
Экстренный патч для кошелька был выпущен уже 7 января, а на следующий день разработчики выпустили новую версию кошелька (3.0.5).
Если кошелек использовался без кодовой фразы, и на компьютере был запущен браузер, есть серьезные поводы для опасений.
Сайты, содержащие вредоносный код на Javascript, могли перехватить пользовательские данные и украсть монеты пользователя, когда он посещал эти сайты при запущенном Electrum. Если кошелек не был защищен паролем, то для получения данных достаточно, чтобы пользователь просто перешел на сайт. При наличии пароля данные могли быть перехвачены, если совершались транзакции.
Сайт мог обратиться к кошельку через включенный по-умолчанию интерфейс JSON RPC и передать команду экспорта PGP-подписи.
Баг позволяет украсть криптовалюту и с других кошельков, основанных на Electrum, например, Electron Cash.
Electrum относится к так называемым “легким” кошелькам, которые позволяют избежать долгой синхронизации всего блокчейна. Для работы достаточно загрузить только последнюю часть из истории транзакций - около 200Мб, а не весь блокчейн, который весит уже более 150 Гб. Удобство использования Electrum обеспечило его большую популярность, поэтому уязвимость имеет серьезное значение для большого числа держателей биткоин.
Кошельки не обновляются автоматически. Для обеспечения сохранности своих средств пользователи Electrum должны вручную обновить кошелек до версии 3.0.5 и подтвердить подпись PGP.
Поделитесь этим с друзьями!
Будьте первым, кто оставит комментарий
Пожалуйста, авторизируйтесь для возможности комментировать