Google 研究人员 Tavis Ormandy 发现了比特币钱包 Electrum
中的一个严重漏洞,允许任何网站窃取用户的代币。当用户开启著旧版本的钱包程式并且浏览网站,只要钱包没有设定密码保护,或是密码太好猜测,则网站将可能窃取钱包中的代币。

上周末,Ormandy 在推特上敦促加密货币爱好者尽速将 Electrum 钱包应用程式更新到最新版本,因为他最近偶然发现了一个严重漏洞,这个漏洞影响了从
2.6 到 3.0.3 的所有版本。

The bitcoin wallet Electrum allows any website to steal your bitcoins. I was
gonna report it…but there was already an open issue from last year. I pointed
out this is kinda critical, and they made a new release within a few hours.
Update to 3.0.4 if you use it.

— Tavis Ormandy (@taviso) 2018 年 1 月 7

Ormandy 说当他发现这个问题时,有另一位眼尖的研究人员早在 2017 年 11 月 25 日便已经回报了这个漏洞,但 Electrum
并没有修复问题。于是他必须联系 Electrum 来强调这个问题的急迫性,而 Electrum 则在数个小时后发布了紧急应对版本 3.0.4。

继 Ormandy 的发文一天之后,Electrum 又发布了一个完整更新版本 3.0.5,目前可以从官方网站
下载 。由于钱包没有内建自动升级机制,因此所有用户都必须手动更新。

Electrum 在声明中指出,用户「需要」升级,但不必「急于升级」。重要的是,不要使用旧版本的应用程式,只要在存取钱包之前更新到新版本就不会有问题。

但如果过去曾在没有设定密码或是密码过于简单的情况下浏览网站,则钱包可能已被危及,推特上有一名网友模拟了利用漏洞找出钱包密码和种子码 (seed) 的过程。

Update your
#electrum
wallets. Only having the program running and surfing the web can be unsafe.
Any website can steal your wallet if it is not protected with a password or if
it's easy to guess it can be bruteforced
#bitcoin
pic.twitter.com/MYq1u9ZZbt

— h43z (@h43z) 2018 年 1 月 7

因此若是担忧的用户,可以用新版本的应用程式创建一个新钱包,再将旧钱包中的比特币转移过去。


区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email
protected]

与我们联系。

来源:thenextweb

图片: motherboard

来源链接:blockcast.it