Главной темой в технологической сфере на прошлой неделе стал баг процессоров Intel, остававшавшийся незамеченным несколько лет,
от которого могут пострадать и пользователи криптовалют. Аналогично ему, была обнаружена уязвимость в кошельке Electrum, которая, согласно некоторым отчётам, могла существовать больше двух лет.
Electrum – бесплатное ПО, которым пользуется множество криптовалютных сайтов, в том числе продавцы и биржи, для хранения биткоинов.
На баг
обратил внимание
исследователь Google Тэвис Орманди 6 января, однако существуют свидетельства того, что о нём было известно, по крайней мере, в прошлом году. Вскоре после публикации сообщения Орманди команда Electrum приступила к подготовке патча.
Администратор форума Bitcointalk
пояснил: «Если на каком-либо этапе в прошлом вы открывали Electrum и не использовали кодовую фразу, при этом имея открытую вкладку с веб-страницей, ваш кошелёк уже мог быть скомпрометирован. Особенно параноидальные личности могут переместить все BTC со старого кошелька Electrum на новый».
Пользователь, сообщивший об уязвимости на
Github
ещё 24 ноября, пояснил: «Пока запущен фоновый процесс Electrum, кто-то на другом виртуальном хосте веб-сервера с лёгкостью может получить доступ к вашему кошельку через локальный RPC-порт».
Похоже, баг был обнаружен ещё до того, как от него успел кто-либо
серьёзно пострадать. В то же время первый патч команды Electrum оказался
неудачным, из-за чего позднее им пришлось перевыпускать его, то есть у
злоумышленников было достаточно времени, чтобы воспользоваться
уязвимостью.