数千个钱包被曝光，Electrum紧急修复比特币钱包bug

流行的电子钱包开发商 Electrum 发布了针对其比特币钱包中严重错误的紧急补丁。 该漏洞存在通过托管 Electrum 钱包的网站窃取用户加密货币的潜在风险。 该漏洞意味着密码暴露在 JSONRPC 接口中，使黑客能够完全控制钱包。 但发布的第一个补丁未能解决问题，迫使 Electrum 在周日晚上发布第二个更新。

快速解决长期存在的问题

就在上周，英特尔计算机芯片中存在长期隐藏的错误的消息震惊了科技界。 Electrum 钱包也出现了类似的漏洞，一些报道称该钱包已经存在了两年多。 谷歌漏洞研究员 Tavis Ormandy 声称已经发现了去年被标记的漏洞。 在 Ormandy 指出该缺陷后的几个小时内比特币本地钱包，Electrum 立即发布了一个补丁来修复它。

在 Bitcointalk 的一个论坛帖子中，网站管理员 Theymos 解释道：

“如果在过去的某个时候你在没有设置钱包密码的情况下打开了 Electrum 并打开了一个网页，你的钱包可能已经被盗用了。 特别可疑的人可能需要将旧 Electrum 钱包中的所有比特币转移到新生成的 Electrum 钱包中。

他后来更新了他的帖子，补充说：

“如果你没有钱包密码，盗窃是微不足道的。如果你设置了一个像样的密码，攻击者似乎可以'只'从你的钱包中获取地址/交易并更改你的 Electrum 设置，在我看来，可能性后者被进一步利用的可能性很高。所以，如果你有钱包密码比特币本地钱包，你不必恐慌，但你仍然需要认真对待这件事。”

致命缺陷

最先报告这个bug的人在2017年11月24日在Github上做了解释：

“当 electrum 在后台运行时，网络服务器上不同虚拟主机上的人可以通过本地 RPC 端口轻松访问你的钱包。目前，没有安全/身份验证可以让进入 RPC 端口的人完全访问钱包”

Electrum 是许多加密货币网站（包括商家和交易所）用来存储比特币的免费软件。 任何人都可以运行 Electrum 服务器，该软件还支持 Trezor、Ledger、Keepkey 等硬件钱包。 增强功能包括多重签名和使用离线冷存储设备签署交易的能力。

看起来这个漏洞在造成任何损害之前就被修复了——尽管在第一次补丁无效后进行了第二次尝试——但考虑到它被隐藏的时间长度，很难确定没有资金被盗。

近期，数字资产安全事件频发。 推荐您使用酷神硬件钱包，真正不联网的冷钱包，为您的资产保驾护航。