Google 研究人員 Tavis Ormandy 發現了比特幣錢包 Electrum 中的一個嚴重漏洞,允許任何網站竊取用戶的代幣。當用戶開啟著舊版本的錢包程式並且瀏覽網站,只要錢包沒有設定密碼保護,或是密碼太好猜測,則網站將可能竊取錢包中的代幣。

上周末,Ormandy 在推特上敦促加密貨幣愛好者盡速將 Electrum 錢包應用程式更新到最新版本,因為他最近偶然發現了一個嚴重漏洞,這個漏洞影響了從 2.6 到 3.0.3 的所有版本。

Ormandy 說當他發現這個問題時,有另一位眼尖的研究人員早在 2017 年 11 月 25 日便已經回報了這個漏洞,但 Electrum 並沒有修復問題。於是他必須聯繫 Electrum 來強調這個問題的急迫性,而 Electrum 則在數個小時後發布了緊急應對版本 3.0.4。

繼 Ormandy 的發文一天之後,Electrum 又發布了一個完整更新版本 3.0.5,目前可以從官方網站下載。由於錢包沒有內建自動升級機制,因此所有用戶都必須手動更新。

Electrum 在聲明中指出,用戶「需要」升級,但不必「急於升級」。重要的是,不要使用舊版本的應用程式,只要在存取錢包之前更新到新版本就不會有問題。

但如果過去曾在沒有設定密碼或是密碼過於簡單的情況下瀏覽網站,則錢包可能已被危及,推特上有一名網友模擬了利用漏洞找出錢包密碼和種子碼 (seed) 的過程。

因此若是擔憂的用戶,可以用新版本的應用程式創建一個新錢包,再將舊錢包中的比特幣轉移過去。


區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。