• app_navCreated with Sketch.app_navCreated with Sketch.

    App

    扫码下载APP

  • tougao_navCreated with Sketch.tougao_navCreated with Sketch.

    投稿

  • Sign in_navCreated with Sketch.Sign in_navCreated with Sketch.

    登录

  • register_navCreated with Sketch.register_navCreated with Sketch.

    注册

Electrum再次紧急修复比特币钱包bug,但成千上万钱包已被曝光
小小 01-09 11:3524782

颇受欢迎的电子钱包开发商Electrum为其比特币钱包中的严重bug发布了紧急补丁。该缺陷存在通过代管Electrum钱包的网站窃取用户的加密货币的潜在风险。该隐患意味着密码暴露在了JSONRPC界面中,使黑客能完全控制钱包。但第一次发布的补丁未能解决这个问题,这迫使Electrum在周日晚上发布了二次更新。

 

对长期存在问题的快速修复

 

就在上周,技术界还被因特尔电脑芯片存在长期隐藏bug的新闻所震撼。Electrum钱包的也出现了类似的隐患,一些报告说该隐患已经存在超过了两年。谷歌隐患研究员Tavis Ormandy声称他发现了这个bug,不过在去年该缺陷就已经被标记出来了。Ormandy指出该缺陷后的几小时内,Electrum就立即发布了补丁来修复它。

在Bitcointalk的一个论坛帖子中,网站管理员Theymos解释道:

“如果过去的某个时刻你打开过没有设置钱包密码的Electrum并且打开过网页,那么您的钱包可能已经被盗用了。特别怀疑的人可能需要把他们旧Electrum钱包中的所有比特币都转移到新生成的Electrum钱包中。

他后来更新了他的帖子,并补充说:

“如果你没有设置钱包密码,那么盗窃是小事一桩。 如果你设置了相当像样的密码,那么攻击者似乎“只能”从你的钱包中获得地址/交易信息,并且改变你的Electrum设置,在我看来,后者进一步被利用的可能性很高。所以,如果你设置了钱包密码,你可以不必那么恐慌,但你仍然需严肃对待此事。”

 

致命缺陷

 

最先提出这个缺陷的人于2017年11月24号在Github上解释到:

“当electrum在后台运行的时候,Web服务器上不同虚拟主机上的某个人可以通过本地RPC端口轻松访问您的钱包。目前,还没有安全/身份验证,能让进入RPC端口的人完全访问钱包。”

Electrum是许多加密货币网站,包括商家和交易机构,用来存储比特币的免费软件。任何人都可以运行Electrum服务器,该软件也支持Trezor、Ledger、Keepkey等硬件钱包。增强功能包括多重签名以及使用不联网的冷存储设备签署交易的功能。

似乎在造成任何损害之前Bug就被修复了——虽然在第一次修补无效后进行了第二次尝试——但考虑到它隐藏的时间长度,很难确切地说没有资金被偷走。这个案例再一次说明了将比特币留在网络钱包中的风险。

 
相关推荐
挖链晚报 | 日本拟简化数字货币纳税制度;英国金融行为监管局计划在年底前制定加密货币政策;海南百度区块链实验室、度链今日揭牌
日本政府税制调查会昨日召开会议,讨论数字货币纳税制度建设,旨在研究简化数字货币的税收工作。与会人员表示,由于数字货币存在销售获益、币币互换获益,以及各交易所收益记录不一等复杂问题,委员会决定将举行小范围的专家会议进行讨论。
区块链:“节”后余生,请好好待我
国庆堵在路上的人是身体累,范冰冰逃税被罚8亿多的新闻是让人心累,很多人议论范冰冰这8亿多的概念,说什么相当于《人民的名义》赵德汉贪污的一整面墙乘以四。
越过了拜占庭,以太坊却跨不过君士坦丁堡
就看以太坊能不能跨过君士坦丁堡的这道坎了,如果还是一直推迟的话,那么在寒冬到来之际,以太坊也要进入所谓的冰河期了