颇受欢迎的电子钱包开发商Electrum为其比特币钱包中的严重bug发布了紧急补丁。该缺陷存在通过代管Electrum钱包的网站窃取用户的加密货币的潜在风险。该隐患意味着密码暴露在了JSONRPC界面中,使黑客能完全控制钱包。但第一次发布的补丁未能解决这个问题,这迫使Electrum在周日晚上发布了二次更新。
对长期存在问题的快速修复
就在上周,技术界还被因特尔电脑芯片存在长期隐藏bug的新闻所震撼。Electrum钱包的也出现了类似的隐患,一些报告说该隐患已经存在超过了两年。谷歌隐患研究员Tavis Ormandy声称他发现了这个bug,不过在去年该缺陷就已经被标记出来了。Ormandy指出该缺陷后的几小时内,Electrum就立即发布了补丁来修复它。
在Bitcointalk的一个论坛帖子中,网站管理员Theymos解释道:
“如果过去的某个时刻你打开过没有设置钱包密码的Electrum并且打开过网页,那么您的钱包可能已经被盗用了。特别怀疑的人可能需要把他们旧Electrum钱包中的所有比特币都转移到新生成的Electrum钱包中。
他后来更新了他的帖子,并补充说:
“如果你没有设置钱包密码,那么盗窃是小事一桩。 如果你设置了相当像样的密码,那么攻击者似乎“只能”从你的钱包中获得地址/交易信息,并且改变你的Electrum设置,在我看来,后者进一步被利用的可能性很高。所以,如果你设置了钱包密码,你可以不必那么恐慌,但你仍然需严肃对待此事。”
致命缺陷
最先提出这个缺陷的人于2017年11月24号在Github上解释到:
“当electrum在后台运行的时候,Web服务器上不同虚拟主机上的某个人可以通过本地RPC端口轻松访问您的钱包。目前,还没有安全/身份验证,能让进入RPC端口的人完全访问钱包。”
Electrum是许多加密货币网站,包括商家和交易机构,用来存储比特币的免费软件。任何人都可以运行Electrum服务器,该软件也支持Trezor、Ledger、Keepkey等硬件钱包。增强功能包括多重签名以及使用不联网的冷存储设备签署交易的功能。
似乎在造成任何损害之前Bug就被修复了——虽然在第一次修补无效后进行了第二次尝试——但考虑到它隐藏的时间长度,很难确切地说没有资金被偷走。这个案例再一次说明了将比特币留在网络钱包中的风险。