Wykryto krytyczną lukę w portfelu Elektrum.
Potencjalna kradzież środków poprzez javaskrypt ze złośliwych stron internetowych możliwa!
Portfele altkojnowe oparte na elektrum, np Electron Cash również są zagrożone. Jeśli nie używasz tego oprogramowania, jesteś bezpieczny i możesz zignorować tę wiadomość.
Środki bezpieczeństwa:
1. Jeśli elektrum działa w tle,
zamknij program w tej chwili 2. Zaktualizuj elektrum do najnowszej wersji
3.0.5. (Upewnij się co do poprawności sygnatury PGP)
Z aktualizacją nie należy się śpieszyć, lepiej zaczekać by upewnić się że wszytko załatano poprawnie. Ważne by nie uruchamiać już więcej starej i dziurawej wersji. Jeśli posiadasz gdzieś na dysku wadliwe elektrum to nie jest ono bezpośrednim zagrożeniem, po prostu nie uruchamiaj go dopóki nie zostanie zaktualizowane.
Jeśli kiedykolwiek poniższy scenariusz miał miejsce;
-elektrum otwarte, odblokowane lub bez hasła na portfelu a;
-przeglądarka otwarta
;to jest bardzo możliwe, że twój portfel już jest zagrożony a monety narażone na kradzież, paranoicy powinni przelać środki na nowo utworzone portfele jednakowoż gdyby ktoś Cię już zhakował to raczej nie było by czego przesyłać...
Dziurę załatano kilka godzin temu, twórca Electrum (ThomasV tu na forum, ecdsa na github) na pewno opisze nam w szczegółach co się stało i jak postępować dalej.
Aktualizacja:
Jeśli twój portfel nie posiadał hasła, hak był dziecinnie prosty, pomachaj monetką na do widzenia
Portfele zahasłowane podatne były "jedynie" na zmianę ustawień oraz podgląd zapisków do poszczególnych transakcji. Aktualizacja z 304 do 305 wciąż jest wysoce wskazana gdyż wspomniane haki mogą być wykorzystane w przyszłości do przejęcia kontroli nad kluczami.
Przetłumaczono z
posta theymos'a
