Популярный разработчик кошельков Electrum выпустил экстренную «заплату» для критических ошибок в своих биткоин-кошельках. Баг мог позволить любому сайту с хостингом кошельков Electrum украсть криптовалюты пользователя. Уязвимость проявлялась тем, что пароли были раскрыты в интерфейсе JSONRPC, предоставляя хакерам полный контроль над кошельком. Однако первой заплате не удалось устранить проблему, заставив Electrum выпустить второе обновление в воскресенье вечером.

Быстрое решение давней проблемы

На прошлой неделе мир технологий был потрясен новостями об ошибке в компьютерных чипах Intel, которые так и оставались необнаруженными в течении многих лет. Это история похожа с уязвимостью кошелька Electrum, так как по некоторым сообщениям, она существовала более двух лет. Исследователь уязвимости Google Тавис Орманди утверждает, что обнаружил ошибку, хотя недостаток был отмечен в прошлом году. В течение нескольких часов Орманди выпустил заплату, чтобы исправить ошибку.

В сообщении форума Bitcointalk администратор сайта Теимос объяснил: «если в какой-либо момент в прошлом у вас был открыт Electrum без набора пароля кошелька; и была открыта веб-страница, то возможно, что ваш кошелек уже скомпрометирован. Особенно параноидальные люди могут захотеть отправить все BTC в своем старом кошельке Electrum на недавно созданный кошелек Electrum.”

Позже он обновил свой пост, добавив: «если у вас не было набора паролей кошелька, то кража тривиальна. Если у вас был приличный набор паролей для кошелька, тогда злоумышленник сможет «только» получить информацию об адресе / транзакции из вашего кошелька и изменить настройки Electrum, последний из которых, как мне кажется, имеет высокие шансы на дальнейшее использование. Поэтому, если у вас был набор паролей для кошелька, вы можете перестать паниковать, но вы все равно должны относиться к этому очень серьезно.”

Безнадежно испорченный

Человек, который впервые сообщил о недостатке на Github 24 ноября объяснил: “в то время как программный агент electrum работает, кто-то на другом виртуальном хосте веб-сервера может легко получить доступ к вашему кошельку через локальный порт RPC. В настоящее время нет никакой безопасности/аутентификации, что предоставляет любому доступ к RPC-порту и полный доступ к кошельку.”

Electrum является бесплатным программным обеспечением, которое используется на многочисленных сайтах криптовалют, в том числе продавцов и бирж, для хранения биткоинов. Любой может запустить сервер Electrum, и программное обеспечение поддерживает аппаратные кошельки, такие как Trezor, Ledger и Keepkey. Расширенные функции включают в себя мульти подписи и возможность подписывать транзакции с помощью устройства холодного хранения, которое не подключено к интернету.

Ошибка, похоже, была исправлена до того, как был нанесен какой-либо ущерб, хотя, учитывая период времени, в течении которого эта ошибка была не обнаружена, трудно сказать наверняка, что никакие средства не были украдены. Этот случай еще раз иллюстрирует риски хранения биткоина в веб-кошельке.