Author

Topic: 技术漏洞导致数千比特币钱包被曝光 Electrum客户端亟待修补漏洞 (Read 81 times)

member
Activity: 197
Merit: 10
记得昨天btt有发出此警告
member
Activity: 154
Merit: 10
英特尔电脑芯片故障的消息震动了整个科技行业,是啊!
member
Activity: 109
Merit: 10
好可怕的漏洞,這數目可不小啊
sr. member
Activity: 406
Merit: 250
 颇受欢迎的钱包开发商Electrum(比特币客户端)已经发布了一个针对比特币钱包中一个关键漏洞的紧急补丁。该漏洞允许承载电子钱包的任何网站都有可能盗取用户的加密货币。该漏洞意味着密码在JSONRPC界面被暴露,使得黑客完全控制了钱包。然而,第一个补丁未能修复这个问题,迫使Electrum周日晚上再次发布更新版本。

客户端漏洞导致数千比特币钱包被曝光  Electrum客户端着手修补漏洞

亟待修复一个长期存在的Bug(漏洞)

上周,有关英特尔电脑芯片故障的消息震动了整个科技行业,这些芯片多年来一直未被发现。这是一个与Electrum钱包脆弱性类似的故事,一些报道称,它已经存在了两年多。谷歌的漏洞研究人员塔维诺曼底(Tavis Ormandy)声称,他发现了这一漏洞,尽管该漏洞在去年被标记了。在Electrum被指出这一漏洞的几个小时内,Electrum就匆忙地拿出了一个补丁来补救。

客户端漏洞导致数千比特币钱包被曝光  Electrum客户端着手修补漏洞

在Bitcointalk的一个论坛帖子中,网站管理员Theymos解释说:“如果在过去的任何时候你已经登录了没有钱包密码的Electrum,并打开网页,那么您的钱包可能已经被盗用。 特别偏执狂的人可能想要把他们旧的Electrum钱包中的所有比特币(BTC)都发送到新生成的Electrum钱包。”

他后来更新了他的帖子,并补充说:“如果你没有设置钱包密码,那么盗窃就很微不足道了。 如果你的钱包密码设置的很好,那么攻击者似乎只能从你的钱包中获得地址/交易信息,并且改变你的Electrum设置,至于后者,在我看来是有很大机会被黑客进一步利用的。 所以,如果你设置了钱包密码,相对而言,一定程度上可以减少你的恐慌,但你仍然应该认真对待这个问题。”

客户端漏洞导致数千比特币钱包被曝光  Electrum客户端着手修补漏洞

存在致命缺陷

在11月24日首先在Github上报道这一缺陷的人解释说:“当Electrum后台程序运行时,web服务器上的另一个虚拟主机上的人可以通过本地的RPC端口轻松地访问您的钱包。目前,还没有保密措施/身份验证,允许某人访问整个RPC端口,并完全访问这个钱包。”
Jump to: