知名比特币轻钱包 Electrum 曝出漏洞,请及时更新到 3.0.5

知名比特币轻钱包 Electrum 曝出漏洞,请及时更新到 3.0.5

温国兵温国兵

文/温国兵

本文由币乎社区(bihu.com)内容支持计划奖励。

这是「区块链技术指北」的第 17 篇文章。

如果对我感兴趣,想和我交流,我的微信号:Wentasy,加我时简单介绍下自己,并注明来自「区块链技术指北」。同时我会把你拉入微信群「区块链技术指北」。BTW,李笑来老师也加入了我的知识星球,文末有加入方式。

笔者在 比特币钱包浅谈 一文中提到,笔者使用的比特币钱包是 Electrum

题图来自: © Nirmal Kalthiya / 14 things about Bitcoin that Maybe You Don’t Know / softmunch.com

Bitcoin Forum 昨天的一个名为 Critical Electrum vulnerability 的帖子爆出 Electrum 钱包有漏洞。

此漏洞可能允许随机网站通过 JavaScript 窃取您的钱包。这个 bug 也可能影响 Electrum 的 altcoin 衍生产品,例如 Electron Cash。如果读者不使用 Electrum 或它的衍生产品,那么将不受影响,可以忽略这一点。此漏洞影响范围 2.6~3.0.3

现在你需要做的是:

  • 如果您正在使用 Electrum,请立即关闭它;
  • 升级到 3.0.5,确保验证 PGP 签名;
  • 如果钱包没有设置密码或者使用弱密码,立即更新钱包密码。建议设置一个包含数字、大小写字母、特殊字符的强密码,另外,密码建议设置为 32 位以上。

重要的是,不要使用旧版本。使用之前务必升级到最新的 3.0.5。

从 Electrum 项目提交的 GitHub 代码 来看,此漏洞的产生跟 JSON-RPC 有关。钱包使用了 JSON-RPC 模块,而此模块对 CORS 并没有限制,且大量接口没有密码保护。如果用户钱包使用默认设置且没有密码保护,那么用户的私钥就会被轻易盗走。 JSON RPC 模块使用了 Access-Control-Allow-Origin,,允许跨域访问,也就意味着本机软件或者是网页都可以访问软件的接口。利用漏洞获取到了用户的 seed,seed 可以理解成钱包的一种备份,任何其他人知道你的 seed 就能轻易获取到你的钱包所有信息,当然也包括私钥。

那么此漏洞在什么条件可以被利用呢?

第一是程序版本低于或者等于 3.03,第二是访问特定构造的网站,俗称钓鱼网站。如果你使用的是私钥在线模式,且没有使用密码,或者使用的是弱密码,那很有可能就被盯上了。

笔者选择钱包的标准如下:可以掌握私钥、开源、国外产品。可以掌握私钥意味着你才真正拥有数字资产;开源意味着作恶的成本高,还意味着有社区支持,出现漏洞可以及时解决;国外产品是笔者的偏好,自行判断。

安全问题警钟长鸣,有代码的地方就有 Bug。数字货币相关的钱包软件、工具,务必更新到最新版,数字货币相关的交易所,务必 Review 安全策略是否到位。

「区块链技术指北」同名 知识星球,二维码如下,欢迎加入。BTW,李笑来老师也加入了

「区块链技术指北」同名 Telegram Channel:t.me/BlockchainAge,欢迎订阅。

同时,本系列文章会在以下渠道同步更新,欢迎关注:

原创不易,读者可以通过如下途径打赏,虚拟货币、美元、法币均支持。

  • BTC: 3QboL2k5HfKjKDrEYtQAKubWCjx9CX7i8f
  • ERC20 Token: 0x8907B2ed72A1E2D283c04613536Fac4270C9F0b3
  • PayPal: paypal.me/robinwen
  • 微信打赏二维码

–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)

「真诚赞赏,手留余香」
还没有人赞赏,快来当第一个赞赏的人吧!
文章被以下专栏收录
还没有评论