區塊鏈數據ETbit | 2018-01-09
頗受歡迎的電子錢包開發商Electrum為其比特幣錢包中的嚴重bug發布了緊急補丁。該缺陷存在通過代管Electrum錢包的網站竊取用戶的加密貨幣的潛在風險。該隱患意味著密碼暴露在了JSONRPC界面中,使黑客能完全控制錢包。但第一次發布的補丁未能解決這個問題,這迫使Electrum在周日晚上發布了二次更新。
就在上周,技術界還被因特爾電腦芯片存在長期隱藏bug的新聞所震撼。Electrum錢包的也出現了類似的隱患,一些報告說該隱患已經存在超過了兩年。谷歌隱患研究員Tavis Ormandy聲稱他發現了這個bug,不過在去年該缺陷就已經被標記出來了。Ormandy指出該缺陷後的幾小時內,Electrum就立即發布了補丁來修複它。
在Bitcointalk的一個論壇帖子中,網站管理員Theymos解釋道:
“如果過去的某個時刻你打開過沒有設置錢包密碼的Electrum並且打開過網頁,那麼您的錢包可能已經被盜用了。特別懷疑的人可能需要把他們舊Electrum錢包中的所有比特幣都轉移到新生成的Electrum錢包中。
他後來更新了他的帖子,並補充說:
“如果你沒有設置錢包密碼,那麼盜竊是小事一樁。 如果你設置了相當像樣的密碼,那麼攻擊者似乎“只能”從你的錢包中獲得地址/交易信息,並且改變你的Electrum設置,在我看來,後者進一步被利用的可能性很高。所以,如果你設置了錢包密碼,你可以不必那麼恐慌,但你仍然需嚴肅對待此事。”
最先提出這個缺陷的人于2017年11月24號在Github上解釋到:
“當electrum在後台運行的時候,Web服務器上不同虛擬主機上的某個人可以通過本地RPC端口輕松訪問您的錢包。目前,還沒有安全/身份驗證,能讓進入RPC端口的人完全訪問錢包。”
Electrum是許多加密貨幣網站,包括商家和交易機構,用來存儲比特幣的免費軟件。任何人都可以運行Electrum服務器,該軟件也支持Trezor、Ledger、Keepkey等硬件錢包。增強功能包括多重簽名以及使用不聯網的冷存儲設備簽署交易的功能。
似乎在造成任何損害之前Bug就被修複了——雖然在第一次修補無效後進行了第二次嘗試——但考慮到它隱藏的時間長度,很難確切地說沒有資金被偷走。這個案例再一次說明了將比特幣留在網絡錢包中的風險。
來源:巴比特資訊
報告:2018年比特幣交易量超過2萬億美元,同比增長61%
2018/12/3 15:02:05斬獲8000萬美元融資,Bitfury正式進軍AI領域
2018/11/30 15:17:04資產上鏈與STO:通證化與證券化的異同
2018/11/29 16:53:42世貿組織報告:到2030年,區塊鏈的商業價值將達到3萬億美元
2018/11/28 15:57:57圖靈獎得主創立的Algorand項目獲得6200萬美元資金
2018/11/28 15:50:34STO通俗版白話解讀
2018/11/27 15:40:45超級賬本楊保華:展望未來十年的關鍵技術挑戰
2018/11/26 14:39:53區塊鏈正在改變世界的35個令人驚奇真實項目
2018/11/23 15:14:23區塊鏈落地應用系列:全球首例地產證券通證化的STO之路
2018/11/22 15:33:56我看到了這10大行業未來的模樣
2018/11/21 14:32:46
評論