Electrum移动补丁的Bug,造成数千比特币钱包暴露,比特币交易系统开发商如何选择?  38tjys.com

2018-01-09 09:44:14 比特币肖先生

颇受欢迎的钱包开发商Electrum已经为其比特币钱包中的重要bug发布了紧急补丁。该漏洞允许任何托管Electrum钱包的网站潜在地窃取用户的密码货币。一个漏洞意味着密码暴露在JSONRPC界面中,授予黑客对钱包的完全控制权。第一个补丁未能解决问题,但迫使Electrum在星期天晚上发布第二个更新。

快速修复一个长期存在的问题

上个星期,科技界受到了英特尔电脑芯片缺陷多年的消息的震动。这是一个与Electrum钱包脆弱性类似的故事,一些报告指出它已经存在了两年多。谷歌漏洞研究人员Tavis Ormandy 声称已经发现了这个漏洞,尽管去年这个漏洞已经被标记出来。在Ormandy指出这个漏洞的几个小时之内,Electrum就冲出了一个补丁来补救。

在Bitcointalk的一个论坛帖子中,网站管理员Theymos解释说:“如果在过去的任何时候你已经打开了没有钱包密码的Electrum,并打开网页,那么您的钱包可能已经被盗用。特别是偏执狂的人们可能想要将他们的旧的Electrum钱包中的所有BTC都发送到新生成的Electrum钱包中。比特币交易平台开发搭建(138-2315-2032)

他后来更新了他的帖子,并补充说:“如果你没有设置钱包密码,盗窃是微不足道的。如果你的钱包密码设置的很好,那么攻击者似乎只能从你的钱包中获得地址/交易信息,并且改变你的Electrum设置,后者似乎对我有很高的可利用率进一步。所以,如果你设置了钱包密码,你可以减少你的恐慌,但你仍然应该认真对待这个。“

致命的缺陷

在11月24日首先报告Github上的漏洞的人解释说:“当electrum守护进程运行时,Web服务器的不同虚拟主机上的某个人可以通过本地RPC端口轻松访问您的钱包。目前,没有安全/身份验证,让有人访问的RPC端口完全访问钱包。“

Electrum是由众多加密货币网站(包括商家和交易所)用来存储比特币的免费软件。任何人都可以运行一个Electrum服务器,并且该软件支持Trezor,Ledger和Keepkey等硬件钱包。增强的功能包括多信号和使用未连接到网络的冷存储设备签署交易的功能。

这个错误似乎在造成任何损害之前已经被修复 - 虽然在第一次修补程序被证明无效之后的第二次尝试 - 尽管考虑到它未被发现的时间长度,但是很难确定没有资金被盗用。这个案例再一次说明了将比特币留在网络钱包中的风险。

比特币交易平台开发搭建(138-2315-2032)

阅读原文
标签:钱包 Electrum 比特 已经 漏洞 一个