• app_navCreated with Sketch.app_navCreated with Sketch.

    App

    扫码下载APP

  • tougao_navCreated with Sketch.tougao_navCreated with Sketch.

    投稿

  • Sign in_navCreated with Sketch.Sign in_navCreated with Sketch.

    登录

  • register_navCreated with Sketch.register_navCreated with Sketch.

    注册

Electrum再次紧急修复比特币钱包bug,但成千上万钱包已被曝光
小小 01-09 11:3524724

颇受欢迎的电子钱包开发商Electrum为其比特币钱包中的严重bug发布了紧急补丁。该缺陷存在通过代管Electrum钱包的网站窃取用户的加密货币的潜在风险。该隐患意味着密码暴露在了JSONRPC界面中,使黑客能完全控制钱包。但第一次发布的补丁未能解决这个问题,这迫使Electrum在周日晚上发布了二次更新。

 

对长期存在问题的快速修复

 

就在上周,技术界还被因特尔电脑芯片存在长期隐藏bug的新闻所震撼。Electrum钱包的也出现了类似的隐患,一些报告说该隐患已经存在超过了两年。谷歌隐患研究员Tavis Ormandy声称他发现了这个bug,不过在去年该缺陷就已经被标记出来了。Ormandy指出该缺陷后的几小时内,Electrum就立即发布了补丁来修复它。

在Bitcointalk的一个论坛帖子中,网站管理员Theymos解释道:

“如果过去的某个时刻你打开过没有设置钱包密码的Electrum并且打开过网页,那么您的钱包可能已经被盗用了。特别怀疑的人可能需要把他们旧Electrum钱包中的所有比特币都转移到新生成的Electrum钱包中。

他后来更新了他的帖子,并补充说:

“如果你没有设置钱包密码,那么盗窃是小事一桩。 如果你设置了相当像样的密码,那么攻击者似乎“只能”从你的钱包中获得地址/交易信息,并且改变你的Electrum设置,在我看来,后者进一步被利用的可能性很高。所以,如果你设置了钱包密码,你可以不必那么恐慌,但你仍然需严肃对待此事。”

 

致命缺陷

 

最先提出这个缺陷的人于2017年11月24号在Github上解释到:

“当electrum在后台运行的时候,Web服务器上不同虚拟主机上的某个人可以通过本地RPC端口轻松访问您的钱包。目前,还没有安全/身份验证,能让进入RPC端口的人完全访问钱包。”

Electrum是许多加密货币网站,包括商家和交易机构,用来存储比特币的免费软件。任何人都可以运行Electrum服务器,该软件也支持Trezor、Ledger、Keepkey等硬件钱包。增强功能包括多重签名以及使用不联网的冷存储设备签署交易的功能。

似乎在造成任何损害之前Bug就被修复了——虽然在第一次修补无效后进行了第二次尝试——但考虑到它隐藏的时间长度,很难确切地说没有资金被偷走。这个案例再一次说明了将比特币留在网络钱包中的风险。

 
相关推荐
创世资本全面战略升级 携首个深度孵化项目积木云重磅亮相
8月16日下午,创世资本战略升级发布会暨积木云首次中国区答谢会于北京四季酒店隆重举行。上百名合作机构代表、知名媒体、行业大咖参加了此次会议。
土耳其里拉崩盘 被热捧的比特币能否成功避险?
今年8月以来,土耳其里拉兑美元汇率屡屡创下历史新低。上周末更是单日跌幅一度逼近20%,给全球市场带来恐慌。随着土耳其里拉汇率大幅下跌,比特币在当地正变得越来越受欢迎,风雨飘摇中的土耳其,能否用比特币等加密货币成功避险?
挖链晚报 | 中国证券报发文批判QOS涉嫌非法融资;纳斯达克和Gemini联合推出合资机构;Last Winner被盗1200W人民币
多位业内专家表示:QOS项目登陆FCoin交易所,具有金融产品、金融衍生品的属性;纳斯达克与Gemini交易所正考虑着手推出一个合资机构,该机构将允许两个交易所上线数字货币,并在全球范围内为用户提供流动资产;区块链游戏Last Winner风靡以太坊网络,然而Last Winner则被黑客利用,AnChain.ai通过态势感知发现了一个攻击合约正在不断从Last Winner中攫取ETH。