亟待修复一个长期存在的Bug(漏洞)
上周,有关英特尔电脑芯片故障的消息震动了整个科技行业,这些芯片多年来一直未被发现。这是一个与Electrum钱包脆弱性类似的故事,一些报道称,它已经存在了两年多。谷歌的漏洞研究人员塔维诺曼底(Tavis Ormandy)声称,他发现了这一漏洞,尽管该漏洞在去年被标记了。在Electrum被指出这一漏洞的几个小时内,Electrum就匆忙地拿出了一个补丁来补救。
在Bitcointalk的一个论坛帖子中,网站管理员Theymos解释说:“如果在过去的任何时候你已经登录了没有钱包密码的Electrum,并打开网页,那么您的钱包可能已经被盗用。 特别偏执狂的人可能想要把他们旧的Electrum钱包中的所有比特币(BTC)都发送到新生成的Electrum钱包。”
他后来更新了他的帖子,并补充说:“如果你没有设置钱包密码,那么盗窃就很微不足道了。 如果你的钱包密码设置的很好,那么攻击者似乎只能从你的钱包中获得地址/交易信息,并且改变你的Electrum设置,至于后者,在我看来是有很大机会被黑客进一步利用的。 所以,如果你设置了钱包密码,相对而言,一定程度上可以减少你的恐慌,但你仍然应该认真对待这个问题。”
存在致命缺陷
在11月24日首先在Github上报道这一缺陷的人解释说:“当Electrum后台程序运行时,web服务器上的另一个虚拟主机上的人可以通过本地的RPC端口轻松地访问您的钱包。目前,还没有保密措施/身份验证,允许某人访问整个RPC端口,并完全访问这个钱包。”