В популярном биткоин-кошельке Electrum была обнаружена критическая уязвимость, о чем было сообщено на GitHub и форуме BitcoinTalk.
Лазейка позволяла злоумышленникам получать доступ к кошелькам пользователей, используя Javascript. Если вы заходили на один из вредоносных сайтов с запущенным Electrum, хакер получал возможность подключиться к вашему кошельку через включенный по умолчанию интерфейс JSON RPC и удаленно исполнять команды, в том числе и копировать ваш приватный ключ.
В ночь с 7 на 8 января на сайте Electrum было выложено срочное обновление кошелька, в котором уязвимость была полностью закрыта. В новой версии интерфейс JSON RPC по умолчанию отключен, также требуется обязательная защита кошелька паролем.
New release: 3.0.5. (security update). https://t.co/Y2DXoUyOgk
Please upgrade; release 3.0.4 did not completely address the vulnerability.https://t.co/rNyItkvMLb— Electrum (@ElectrumWallet) January 8, 2018
Стоит отметить, что уязвимость также затрагивает и форки Electrum, самый популярный из которых — кошелек для Bitcoin Cash под названием Electron Cash.
Обязательно установите последнюю версию Electrum, прежде чем продолжить пользоваться кошельком. Отмечается, что надежный пароль в ранних версиях кошелька должен был быть весомым препятствием для злоумышленника, однако в целях безопасности всегда важно пользоваться актуальными версиями софта для хранения ваших криптовалютных запасов.
