Author

Topic: Vulnerabilidade encontrada na Carteira Electrum! (Read 416 times)

full member
Activity: 265
Merit: 100
sempre tive um pé atrás com essas carteiras isso tudo é muito novo e só depois de muitos anos dá pra saber se é seguro mesmo
legendary
Activity: 1274
Merit: 1000
Ainda acredito que a Electrum seja uma das melhores carteiras para Bitcoins. Apesar desse problema ocorrido.
full member
Activity: 532
Merit: 152
Isso não me incomoda, gente, a Electrum merece o crédito por ser a PRIMEIRA carteira a dar suporte TOTAL ao segwit, os verdadeiros endereços segwit são os endereços no formato bech32 (bc1qxxxxxxxx), já o bitcoin core que é o cliente de referência do bitcoin que nem tem o segwit completo, vc tem que fazer uma gambiarra para criar um endereço segwit, não pode importar pra outra carteira, é muito complicado etc, isso é uma vergonha, pois o core estão prometendo o segwit faz tempo e eles nem deram suporte total ao segwit.


Já atualizei a electrum, agora estou de boa...
Torcendo para o bech32 tornar-se popular logo. Chega de gambiarra pra usar segwit...
hero member
Activity: 1120
Merit: 540
Duelbits - Play for Free | Win for Real
Isso não me incomoda, gente, a Electrum merece o crédito por ser a PRIMEIRA carteira a dar suporte TOTAL ao segwit, os verdadeiros endereços segwit são os endereços no formato bech32 (bc1qxxxxxxxx), já o bitcoin core que é o cliente de referência do bitcoin que nem tem o segwit completo, vc tem que fazer uma gambiarra para criar um endereço segwit, não pode importar pra outra carteira, é muito complicado etc, isso é uma vergonha, pois o core estão prometendo o segwit faz tempo e eles nem deram suporte total ao segwit.
sr. member
Activity: 420
Merit: 252
Lendo esse tópico eu fiquei um pouco mais tranquilo. Mas uma das carteiras mais confiáveis com essa vulnerabilidade é complicado
member
Activity: 135
Merit: 10
ainda bem que avisaram em tempo, esta tudo certo com a versão atual?
full member
Activity: 546
Merit: 122
Tudo normal com a versão atual? To querendo instalar ela no android, mas to pensando se coloco ela ou a mycellium.
member
Activity: 253
Merit: 31
Utilizo esta carteira e acredito que seja parte da evolução a constante mudança! É sempre bom cuidar pois cada um é seu próprio banco!
legendary
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
(...)
já é possível descobrir alguma chave privada de um xpubkey, ou até mesmo a seed a partir do xpubkey

tem alguma referencia pra isso? AFAIK, sem computadores quanticos de pelo menos 128 qubits, isso é impossível.
hero member
Activity: 1120
Merit: 540
Duelbits - Play for Free | Win for Real
@Girino, ainda tem o risco de algum malware extrair a chave pública mestre da carteira, pois a electrum nem pede a senha para termos acesso a xpubkey, e já é possível descobrir alguma chave privada de um xpubkey, ou até mesmo a seed a partir do xpubkey
legendary
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.

A 3.0.4 bloqueia ataques externos, mas ainda é vulnerável a ataques vindos da mesma máquina. Poderia ser aproveitado por um malware que conseguisse ser instalado na maquina local. A 3.0.5 corrige o problema em ambos os casos (remoto e local)
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
Eita caraca!! Quase que usei essa cartiera!!! Pior que existem fraudes até com os Wallet hardware!!
Pode ser mais específico? Estou aguardando minha ledger nano s acreditando ser uma opção segura para guardar meus BTC.
Claro que tudo tem seus riscos, mas gostaria de entender melhor esse seu comentário a respeito das wallet hardware.
legendary
Activity: 2688
Merit: 2297
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.


kkkkkkkkkkkk os caras tão de sacanagem, tenho a Electrum só pq assinei meu endereço aqui no fórum e to tendo que fazer essa função, vou só deletar que perco menos tempo e quando precisar eu instalo..

@girino, o problema é que agora que a falha veio a tona o pessoal vai tentar se aproveitar, vai ter gente que vai ficar muito tempo com as versões antigas ou nunca vai atualizar.. eu dei uma olhada no github no dia, se bem me lembro o cara reportou em novembro, se mais alguém viu, teve 2 meses pra testar e fazer algo.. Bom mesmo é já fazer o processo..
legendary
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
Sabem se a vulnerabilidade afetou a Electrum Android?

sim, todas as versões em todas as plataformas.
hero member
Activity: 1778
Merit: 882
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.
full member
Activity: 532
Merit: 152
Sabem se a vulnerabilidade afetou a Electrum Android?
legendary
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
Há menos de 10 min o theymos fixou uma mensagem no fórum citando uma vulnerabilidade em versões anteriores da Electrum. Para os que tem a carteira desatualizada é recomendado que atualize. Aparentemente seria possível um atacante invadir a carteira por meio de website utilizando javascript.

Ele recomenda que se utilize a versão 3.0.4 e que clientes com versão anterior sejam desligados imediatamente. Sinceramente não sei até que ponto essa falha é grave e qual a facilidade em explorá-la, mas se mantenham atentos.

Tópico do theymos: https://bitcointalksearch.org/topic/critical-electrum-vulnerability-2702103

Só tentando esclarecer algumas coisas aqui, porque o anúncio do theymos foi BEM alarmista:

1- Não existe relato de uso dessa vulnerabilidade no mundo real. Apenas as demonstrações feitas pelo cara que a descobriu.
2- Se sua carteira tem senha, não tem perigo de perder fundos, a menos que você destranque a carteira simultaneamente em que acessa um site malicioso. Como não existem relatos de sites maliciosos antes da divulgação da correção, a probabilidade disso ter acontecido com alguem é quase nula.
3- Se você mantinha sua carteira sem senha, você é burro mesmo e merece sofrer!
4- O theymos fala que é pra vc criar uma nova carteira e mover os fundos. Eu fiz isso na pressa, antes de ler mais sobre o bug. Dadas as características do bug, não acredito que seja necessário. Como a vulnerabilidade já foi divulgada, recomendo que não abram a carteira antes de atualizar para a versão 3.0.4. Tirando isso, apenas atualizar deve ser suficiente, até segunda ordem, para se proteger de qualquer ataque.

Conclusão: se vc tem muitos fundos na carteira (de forma que a fee dos mineradores não impacte muito pra vc), recomendo atualizar e depois criar uma nova carteira pra onde vc vai transferir todos os fundos. Se você tem poucos fundos na carteira, de forma que a fee vai impactar em muito, apenas atualize, não há necessidade urgente de mover os fundos pra nova carteira.
legendary
Activity: 2688
Merit: 2297
É só atualizar pra versão 3.0.4 e está tudo OK.

Agora, se alguém não usa senha alguma na wallet e visita sites maliciosos que provavelmente executam javascripts do mal, meus pêsames.

Acho que mesmo com senha na wallet corre o mesmo risco.. Pelo que eu entendi pode-se ter controle total sobre ela..

O bom é abandonar estas versões antigas da carteira..

Os mais paranoicos estão mandando dinheiro para um endereço novo..
legendary
Activity: 2716
Merit: 1116
É só atualizar pra versão 3.0.4 e está tudo OK.

Agora, se alguém não usa senha alguma na wallet e visita sites maliciosos que provavelmente executam javascripts do mal, meus pêsames.
hero member
Activity: 1778
Merit: 882
Eita caraca!! Quase que usei essa cartiera!!! Pior que existem fraudes até com os Wallet hardware!!

Ela é confiável, só mantê-la atualizada. Isso é uma vulnerabilidade que já foi consertada, por isso a importância de ser de código aberto.
newbie
Activity: 63
Merit: 0
Eita caraca!! Quase que usei essa cartiera!!! Pior que existem fraudes até com os Wallet hardware!!
hero member
Activity: 1778
Merit: 882
Há menos de 10 min o theymos fixou uma mensagem no fórum citando uma vulnerabilidade em versões anteriores da Electrum. Para os que tem a carteira desatualizada é recomendado que atualize. Aparentemente seria possível um atacante invadir a carteira por meio de website utilizando javascript.

Ele recomenda que se utilize a versão 3.0.4  3.0.5 e que clientes com versão anterior sejam desligados imediatamente. Sinceramente não sei até que ponto essa falha é grave e qual a facilidade em explorá-la, mas se mantenham atentos.

Tópico do theymos: https://bitcointalksearch.org/topic/critical-electrum-vulnerability-2702103

Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.
Jump to: