原文链接 http://dbarobin.com/2018/01/08/blockchain-electrum-vulnerability/
注:以下为加速网络访问所做的原文缓存,经过重新格式化,可能存在格式方面的问题,或偶有遗漏信息,请以原文为准。
文/Robin
本文由币乎社区(bihu.com)内容支持计划奖励。
本站推广
币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。
币安注册: https://accounts.binancezh.pro/cn/register/?ref=11190872 邀请码: 11190872
这是「区块链技术指北」的第 17 篇文章。
如果对我感兴趣,想和我交流,我的微信号:Wentasy,加我时简单介绍下自己,并注明来自「区块链技术指北」。同时我会把你拉入微信群「区块链技术指北」。BTW,李笑来老师也加入了我的知识星球,文末有加入方式。
笔者在 比特币钱包浅谈 一文中提到,笔者使用的比特币钱包是 Electrum。
题图来自: © Nirmal Kalthiya / 14 things about Bitcoin that Maybe You Don’t Know / softmunch.com
Bitcoin Forum 昨天的一个名为 Critical Electrum vulnerability 的帖子爆出 Electrum 钱包有漏洞。
此漏洞可能允许随机网站通过 JavaScript 窃取您的钱包。这个 bug 也可能影响 Electrum 的 altcoin 衍生产品,例如 Electron Cash。如果读者不使用 Electrum 或它的衍生产品,那么将不受影响,可以忽略这一点。此漏洞影响范围 2.6~3.0.3。
现在你需要做的是:
- 如果您正在使用 Electrum,请立即关闭它;
- 升级到 3.0.5,确保验证 PGP 签名;
- 如果钱包没有设置密码或者使用弱密码,立即更新钱包密码。建议设置一个包含数字、大小写字母、特殊字符的强密码,另外,密码建议设置为 32 位以上。
重要的是,不要使用旧版本。使用之前务必升级到最新的 3.0.5。
从 Electrum 项目提交的 GitHub 代码 来看,此漏洞的产生跟 JSON-RPC 有关。钱包使用了 JSON-RPC 模块,而此模块对 CORS 并没有限制,且大量接口没有密码保护。如果用户钱包使用默认设置且没有密码保护,那么用户的私钥就会被轻易盗走。 JSON RPC 模块使用了 Access-Control-Allow-Origin,,允许跨域访问,也就意味着本机软件或者是网页都可以访问软件的接口。利用漏洞获取到了用户的 seed,seed 可以理解成钱包的一种备份,任何其他人知道你的 seed 就能轻易获取到你的钱包所有信息,当然也包括私钥。
那么此漏洞在什么条件可以被利用呢?
第一是程序版本低于或者等于 3.03,第二是访问特定构造的网站,俗称钓鱼网站。如果你使用的是私钥在线模式,且没有使用密码,或者使用的是弱密码,那很有可能就被盯上了。
笔者选择钱包的标准如下:可以掌握私钥、开源、国外产品。可以掌握私钥意味着你才真正拥有数字资产;开源意味着作恶的成本高,还意味着有社区支持,出现漏洞可以及时解决;国外产品是笔者的偏好,自行判断。
安全问题警钟长鸣,有代码的地方就有 Bug。数字货币相关的钱包软件、工具,务必更新到最新版,数字货币相关的交易所,务必 Review 安全策略是否到位。
本站推广
币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。
币安注册: https://accounts.binancezh.pro/cn/register/?ref=11190872 邀请码: 11190872
「区块链技术指北」同名 知识星球,二维码如下,欢迎加入。BTW,李笑来老师也加入了。
「区块链技术指北」相关资讯渠道:
- 「区块链技术指北」同名知识星球,https://t.xiaomiquan.com/ZRbmaU3
- 官方社区,https://bbs.chainon.io
- Telegram Channel,https://t.me/chainone
- Twitter,https://twitter.com/bcageone
- 新浪微博,https://weibo.com/BlockchainAge
同时,本系列文章会在以下渠道同步更新,欢迎关注:
- 「区块链技术指北」同名微信公众号(微信号:BlockchainAge)
- 个人博客,https://dbarobin.com
- 知乎,https://zhuanlan.zhihu.com/robinwen
- Steemit,https://steemit.com/@robinwen
- Medium,https://medium.com/@robinwan
- 掘金,robinwen@juejin.im
- 币乎,https://bihu.com/people/22207
原创不易,读者可以通过如下途径打赏,虚拟货币、美元、法币均支持。
- BTC: 3QboL2k5HfKjKDrEYtQAKubWCjx9CX7i8f
- ERC20 Token: 0x8907B2ed72A1E2D283c04613536Fac4270C9F0b3
- PayPal: https://www.paypal.me/robinwen
- 微信打赏二维码
–EOF–