鏈聞 ChainNews 誠邀讀者共同監督,堅決杜絕各類代幣發行、投資推薦及虛擬貨幣炒作信息。舉報

Electrum

Electrum新聞快訊文章, Electrum深度文章, Electrum快訊, 區塊鏈Electrum, Electrum是什麼, Electrum介紹, Electrum解讀, Electrum項目, 三分鐘瞭解Electrum, 秒懂Electrum, 如何評價Electrum, Electrum怎麼樣, Electrum創始人, Electrum招聘, Electrum融資, Electrum價格, Electrum技術, Electrum社區, Electrum論壇, Electrum瀏覽器, Electrum排名, Electrum白皮書, Electrum本質, Electrum意義, Electrum代碼, Electrum遊戲, Electrum什麼意思, Electrum學習, Electrum培訓, Electrum教程, Electrum投資, Electrum賺錢, Electrum安全, Electrum漏洞

慢霧:Electrum 「更新釣魚」盜幣攻擊補充預警

Electrum 是全球知名的比特幣輕錢包,支持多籤,歷史悠久,具有非常廣泛的用戶羣體,許多用戶喜歡用 Electrum 做比特幣甚至 USDT(Omni) 的冷錢包或多籤錢包。基於這種使用場景,Electrum 在用戶電腦上使用頻率會比較低。Electrum 當前最新版本是 3.3.8,而已知的 3.3.4 之前的版本都存在「消息缺陷」,這個缺陷允許攻擊者通過惡意的 ElectrumX 服務器發送「更新提示」。這個「更新提示」對於用戶來說非常具有迷惑性,如果按提示下載所謂的新版本 Electrum,就可能中招。據用戶反饋,因爲這種攻擊,被盜的比特幣在四位數以上。本次捕獲的盜幣攻擊不是盜取私鑰(一般來說 Electrum 的私鑰都是雙因素加密存儲的),而是在用戶發起轉賬時,替換了轉賬目標地址。慢霧提醒用戶,轉賬時,需要特別注意目標地址是否被替換,這是近期非常流行的盜幣方式。並建議用戶使用 Ledger 等硬件錢包,如果搭配 Electrum,雖然私鑰不會有什麼安全問題,但同樣需要警惕目標地址被替換的情況。

慢霧預警:全球知名比特幣錢包 Electrum 「更新釣魚」盜幣行爲在繼續

2018 年 12 月,慢霧第一次發現並預警了有攻擊者利用 Electrum 錢包客戶端的消息缺陷,在用戶轉幣操作時強制彈出「更新提示」,誘導用戶更新下載惡意軟件,進而實施盜幣攻擊。近期,慢霧科技反洗錢 (AML) 系統通過持續追蹤發現,其中一個攻擊者錢包地址 bc1qc...p2kny 已累計盜取 30 多枚 BTC,作案時間持續半年,並且近期還在活躍。慢霧提醒 Electrum 用戶注意「更新提示」,這種「更新提示」裏的新版本 Electrum 很可能是假的,如果有安裝,請及時在其他安全環境將比特幣轉出。同時慢霧呼籲廣大加密貨幣交易所、錢包等平臺的 AML 風控系統拉黑並監測如上比特幣地址。這種「更新提示」是攻擊者利用 Electrum 客戶端和 ElectrumX 服務器的消息缺陷發起的釣魚攻擊,攻擊者需要提前部署惡意的 ElectrumX 服務器,並且這個惡意服務器被用戶的 Electrum 客戶端納入本地(因爲 Electrum 客戶端是輕錢包,用戶需要 ElectrumX 服務器來廣播交易)。瘋狂時,惡意的 ElectrumX 服務器佔全部的 71% 之多,據不完全統計,過去一年多,這種釣魚攻擊已經盜取了數百枚比特幣。雖然在 2019 年初 Electrum 官方就說要採取一些安全機制來杜絕這種「更新釣魚」的發生,比如:1. 補丁 Electrum 客戶端不顯示豐富的文本,不允許任意消息,只有嚴格的消息;2. 補丁 ElectrumX 服務器實現檢測 Sybil Attack(即女巫攻擊,發送釣魚消息的惡意服務器),並不再向客戶端廣播它們;3. 實施黑名單邏輯,在 Electrum 客戶端視圖之外提醒惡意服務器;4. 在社交網站、網站和與用戶存在的所有通信形式上大力宣傳,他們應該始終運行最新版本,並且始終只從官方來源 (electrum.org) 安裝,通過安全協議 (https) 訪問,並事先驗證 GPG 簽名。但許多用戶的 Electrum 還處於老版本狀態(小於 3.3.4),老版本還處於威脅之中,但是慢霧認爲不排除新版本也會有相似威脅。
·

降維安全:比特幣錢包 Electrum 遭受黑客釣魚攻擊,至少 1450 枚 BTC 遭竊

鏈聞消息,據降維安全實驗室的消息,比特幣錢包 Electrum 的用戶目前正面臨網絡釣魚攻擊。黑客通過惡意服務器向 Electrum 客戶端廣播消息,提示用戶更新至 v4.0.0 版本,如果用戶按照提示安裝了此「攜帶後門的客戶端」,則私鑰會遭到竊取,所有的數字資產將被盜。截至發稿時,僞造 Electrum 升級提示的釣魚攻擊已盜竊至少 1450 枚 BTC,價值約 1160 萬美元。降維安全實驗室在此提示 Electrum 低於 3.3.4 的版本易遭受此類釣魚攻擊,使用 Electrum 錢包的用戶請通過官方網站(electrum.org)更新至最新版本 Electrum3.3.8,目前官方尚未發佈 v4.0.0 版本,請勿使用提示信息中的鏈接進行更新,以免遭受資產損失。

錢包服務 Electrum 計劃 7 月底支持比特幣閃電網絡交易技術

鏈聞消息,加密貨幣錢包服務公司 Electrum 創始人 Thomas Voegtlin 表示計劃 7 月底 Electrum 錢包將增加對比特幣閃電網絡交易技術的支持。他表示交易將由 Electrum 服務器與比特幣網絡進行交互,而非與其他閃電網絡客戶端整合。閃電網絡是一種開發中的第 2 層擴容技術,目標是實現較比特幣網絡更快的支付、更低的費用和更高的交易吞吐量,目前有多個閃電網絡項目正在開發迭代。

Electrum 錢包遭遇大規模 DoS 攻擊,已造成數百萬美元損失

據降維安全實驗室,黑客針對知名錢包 Electrum 服務器發起了拒絕服務(DoS)攻擊。黑客使用了超過 140,000 臺計算機的僵屍網絡對 Electrum 的節點發起攻擊,並同時部署了惡意節點。當用戶連接這些惡意節點,並使用舊版 Electrum 發送交易,則會提示用戶更新「攜帶後門的客戶端」。如果用戶按照提示安裝了此客戶端,則私鑰會遭到竊取,所有數字資產將丟失。據 Electrum 官方消息,目前已有數百萬美金的數字貨幣遭竊取。降維安全實驗室在此建議使用 Electrum 錢包的用戶,請通過官方網站更新到最新版客戶端,切勿使用提示信息中的鏈接進行更新。
·

Google 開發人員發現比特幣錢包 Electrum 漏洞 可能導致資金被網站竊取

Google 研究人員 Tavis Ormandy 發現了比特幣錢包 Electrum 中的一個嚴重漏洞,允許任何網站竊取用戶的代幣。當用戶開啓著舊版本的錢包程式並且瀏覽網站,只要錢包沒有設定密碼保護,或是密碼太好猜測,則網站將可能竊取錢包中的代幣。上週末,Ormandy 在推特上敦促加密貨幣愛好 ...
返回頁面頂部
返回鏈聞首頁
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏區塊鏈搜索區塊鏈移動 AppEmailUpHomeAppleAndroid