Topic: Vulnerabilidade encontrada na Carteira Electrum! (Read 378 times)
sempre tive um pé atrás com essas carteiras isso tudo é muito novo e só depois de muitos anos dá pra saber se é seguro mesmo
Ainda acredito que a Electrum seja uma das melhores carteiras para Bitcoins. Apesar desse problema ocorrido.
Isso não me incomoda, gente, a Electrum merece o crédito por ser a PRIMEIRA carteira a dar suporte TOTAL ao segwit, os verdadeiros endereços segwit são os endereços no formato bech32 (bc1qxxxxxxxx), já o bitcoin core que é o cliente de referência do bitcoin que nem tem o segwit completo, vc tem que fazer uma gambiarra para criar um endereço segwit, não pode importar pra outra carteira, é muito complicado etc, isso é uma vergonha, pois o core estão prometendo o segwit faz tempo e eles nem deram suporte total ao segwit.
Já atualizei a electrum, agora estou de boa...
Torcendo para o bech32 tornar-se popular logo. Chega de gambiarra pra usar segwit...
Isso não me incomoda, gente, a Electrum merece o crédito por ser a PRIMEIRA carteira a dar suporte TOTAL ao segwit, os verdadeiros endereços segwit são os endereços no formato bech32 (bc1qxxxxxxxx), já o bitcoin core que é o cliente de referência do bitcoin que nem tem o segwit completo, vc tem que fazer uma gambiarra para criar um endereço segwit, não pode importar pra outra carteira, é muito complicado etc, isso é uma vergonha, pois o core estão prometendo o segwit faz tempo e eles nem deram suporte total ao segwit.
Lendo esse tópico eu fiquei um pouco mais tranquilo. Mas uma das carteiras mais confiáveis com essa vulnerabilidade é complicado
ainda bem que avisaram em tempo, esta tudo certo com a versão atual?
Tudo normal com a versão atual? To querendo instalar ela no android, mas to pensando se coloco ela ou a mycellium.
Utilizo esta carteira e acredito que seja parte da evolução a constante mudança! É sempre bom cuidar pois cada um é seu próprio banco!
(...)
já é possível descobrir alguma chave privada de um xpubkey, ou até mesmo a seed a partir do xpubkey
já é possível descobrir alguma chave privada de um xpubkey, ou até mesmo a seed a partir do xpubkey
tem alguma referencia pra isso? AFAIK, sem computadores quanticos de pelo menos 128 qubits, isso é impossível.
@Girino, ainda tem o risco de algum malware extrair a chave pública mestre da carteira, pois a electrum nem pede a senha para termos acesso a xpubkey, e já é possível descobrir alguma chave privada de um xpubkey, ou até mesmo a seed a partir do xpubkey
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.
A 3.0.4 bloqueia ataques externos, mas ainda é vulnerável a ataques vindos da mesma máquina. Poderia ser aproveitado por um malware que conseguisse ser instalado na maquina local. A 3.0.5 corrige o problema em ambos os casos (remoto e local)
Eita caraca!! Quase que usei essa cartiera!!! Pior que existem fraudes até com os Wallet hardware!!
Pode ser mais específico? Estou aguardando minha ledger nano s acreditando ser uma opção segura para guardar meus BTC.Claro que tudo tem seus riscos, mas gostaria de entender melhor esse seu comentário a respeito das wallet hardware.
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.
kkkkkkkkkkkk os caras tão de sacanagem, tenho a Electrum só pq assinei meu endereço aqui no fórum e to tendo que fazer essa função, vou só deletar que perco menos tempo e quando precisar eu instalo..
@girino, o problema é que agora que a falha veio a tona o pessoal vai tentar se aproveitar, vai ter gente que vai ficar muito tempo com as versões antigas ou nunca vai atualizar.. eu dei uma olhada no github no dia, se bem me lembro o cara reportou em novembro, se mais alguém viu, teve 2 meses pra testar e fazer algo.. Bom mesmo é já fazer o processo..
Sabem se a vulnerabilidade afetou a Electrum Android?
sim, todas as versões em todas as plataformas.
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.
Sabem se a vulnerabilidade afetou a Electrum Android?
Há menos de 10 min o theymos fixou uma mensagem no fórum citando uma vulnerabilidade em versões anteriores da Electrum. Para os que tem a carteira desatualizada é recomendado que atualize. Aparentemente seria possível um atacante invadir a carteira por meio de website utilizando javascript.
Ele recomenda que se utilize a versão 3.0.4 e que clientes com versão anterior sejam desligados imediatamente. Sinceramente não sei até que ponto essa falha é grave e qual a facilidade em explorá-la, mas se mantenham atentos.
Tópico do theymos: https://bitcointalksearch.org/topic/critical-electrum-vulnerability-2702103
Ele recomenda que se utilize a versão 3.0.4 e que clientes com versão anterior sejam desligados imediatamente. Sinceramente não sei até que ponto essa falha é grave e qual a facilidade em explorá-la, mas se mantenham atentos.
Tópico do theymos: https://bitcointalksearch.org/topic/critical-electrum-vulnerability-2702103
Só tentando esclarecer algumas coisas aqui, porque o anúncio do theymos foi BEM alarmista:
1- Não existe relato de uso dessa vulnerabilidade no mundo real. Apenas as demonstrações feitas pelo cara que a descobriu.
2- Se sua carteira tem senha, não tem perigo de perder fundos, a menos que você destranque a carteira simultaneamente em que acessa um site malicioso. Como não existem relatos de sites maliciosos antes da divulgação da correção, a probabilidade disso ter acontecido com alguem é quase nula.
3- Se você mantinha sua carteira sem senha, você é burro mesmo e merece sofrer!
4- O theymos fala que é pra vc criar uma nova carteira e mover os fundos. Eu fiz isso na pressa, antes de ler mais sobre o bug. Dadas as características do bug, não acredito que seja necessário. Como a vulnerabilidade já foi divulgada, recomendo que não abram a carteira antes de atualizar para a versão 3.0.4. Tirando isso, apenas atualizar deve ser suficiente, até segunda ordem, para se proteger de qualquer ataque.
Conclusão: se vc tem muitos fundos na carteira (de forma que a fee dos mineradores não impacte muito pra vc), recomendo atualizar e depois criar uma nova carteira pra onde vc vai transferir todos os fundos. Se você tem poucos fundos na carteira, de forma que a fee vai impactar em muito, apenas atualize, não há necessidade urgente de mover os fundos pra nova carteira.
É só atualizar pra versão 3.0.4 e está tudo OK.
Agora, se alguém não usa senha alguma na wallet e visita sites maliciosos que provavelmente executam javascripts do mal, meus pêsames.
Agora, se alguém não usa senha alguma na wallet e visita sites maliciosos que provavelmente executam javascripts do mal, meus pêsames.
Acho que mesmo com senha na wallet corre o mesmo risco.. Pelo que eu entendi pode-se ter controle total sobre ela..
O bom é abandonar estas versões antigas da carteira..
Os mais paranoicos estão mandando dinheiro para um endereço novo..
É só atualizar pra versão 3.0.4 e está tudo OK.
Agora, se alguém não usa senha alguma na wallet e visita sites maliciosos que provavelmente executam javascripts do mal, meus pêsames.
Agora, se alguém não usa senha alguma na wallet e visita sites maliciosos que provavelmente executam javascripts do mal, meus pêsames.
Eita caraca!! Quase que usei essa cartiera!!! Pior que existem fraudes até com os Wallet hardware!!
Ela é confiável, só mantê-la atualizada. Isso é uma vulnerabilidade que já foi consertada, por isso a importância de ser de código aberto.
Jump to: