币安官网注册链接: 币安(Binance)
巴氏合金
服务区块链创新者
受欢迎的电子钱包开发商 Electrum 发布了针对其比特币钱包中严重错误的紧急补丁。 该缺陷存在通过托管 Electrum 钱包的网站窃取用户加密货币的潜在风险。 该漏洞意味着密码在 JSONRPC 接口中暴露,从而使黑客能够完全控制钱包。 但发布的第一个补丁未能解决该问题,迫使 Electrum 在周日晚上发布了第二个更新。
快速修复长期存在的问题
就在上周,英特尔计算机芯片中隐藏已久的错误的消息震惊了科技界。 Electrum 钱包也出现了类似的漏洞,有报道称该漏洞已经存在两年多了。 谷歌漏洞研究员 Tavis Ormandy 声称他发现了该漏洞,但该漏洞去年已被标记。 在 Ormandy 指出该缺陷后的几个小时内,Electrum 发布了一个补丁来修复它。
在 Bitcointalk 的论坛帖子中,网站管理员 Theymos 解释道:
“如果在过去的某个时候,你在没有钱包密码的情况下打开了 Electrum 并打开了网页,那么你的钱包可能已经被泄露了。特别可疑的人可能需要将旧 Electrum 钱包中的所有比特币转移到新的 Electrum 钱包中。”生成的电子钱包。
他后来更新了他的帖子,补充道:
“如果不设置钱包密码,盗窃就是小菜一碟。 如果您设置了一个合适的密码,那么攻击者似乎“只能”从您的钱包获取地址/交易信息并更改您的 Electrum 设置。在我看来,进一步利用后者的潜力非常高。 所以,如果你设置了钱包密码,你不用那么惊慌,但还是需要认真对待。”
致命缺陷
最先提出这个缺陷的人于 2017 年 11 月 24 日在 Github 上解释道:
“当 electrum 在后台运行时,网络服务器上不同虚拟主机上的某人可以通过本地 RPC 端口轻松访问您的钱包。目前,没有安全/身份验证允许进入 RPC 端口的人完全访问您的钱包。钱包。 ”
Electrum 是许多加密货币网站(包括商家和交易所)使用的免费软件来存储比特币。 任何人都可以运行 Electrum 服务器,该软件还支持 Trezor、Ledger 和 Keepkey 等硬件钱包。 增强功能包括多重签名以及使用未连接到互联网的冷存储设备签署交易的能力。
看来这个错误在造成任何损害之前就已经被修复了——尽管在第一个补丁不起作用后进行了第二次尝试——但考虑到它被隐藏的时间很长,很难肯定地说没有资金被盗。 这个案例再次说明了将比特币留在在线钱包中的风险。