|
Loganota (OP)
|
 |
January 07, 2018, 03:49:00 AM
Last edit: January 08, 2018, 10:28:39 AM by Loganota |
|
Há menos de 10 min o theymos fixou uma mensagem no fórum citando uma vulnerabilidade em versões anteriores da Electrum. Para os que tem a carteira desatualizada é recomendado que atualize. Aparentemente seria possível um atacante invadir a carteira por meio de website utilizando javascript. Ele recomenda que se utilize a versão 3.0.4 3.0.5 e que clientes com versão anterior sejam desligados imediatamente. Sinceramente não sei até que ponto essa falha é grave e qual a facilidade em explorá-la, mas se mantenham atentos. Tópico do theymos: https://bitcointalk.org/index.php?topic=2702103.0Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5. |
|
|
|
|
|
|
|
The grue lurks in the darkest places of the earth. Its favorite diet is adventurers, but its insatiable appetite is tempered by its fear of light. No grue has ever been seen by the light of day, and few have survived its fearsome jaws to tell the tale.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
fabiofem
Newbie
 Offline
Activity: 63
Merit: 0
|
|
January 07, 2018, 01:48:23 PM |
|
Eita caraca!! Quase que usei essa cartiera!!! Pior que existem fraudes até com os Wallet hardware!!
|
|
|
|
|
|
Loganota (OP)
|
|
January 07, 2018, 02:28:59 PM |
|
Eita caraca!! Quase que usei essa cartiera!!! Pior que existem fraudes até com os Wallet hardware!!
Ela é confiável, só mantê-la atualizada. Isso é uma vulnerabilidade que já foi consertada, por isso a importância de ser de código aberto. |
|
|
|
|
jpouza
Legendary
Offline
Activity: 2688
Merit: 1110
|
|
January 07, 2018, 02:32:44 PM |
|
É só atualizar pra versão 3.0.4 e está tudo OK.
Agora, se alguém não usa senha alguma na wallet e visita sites maliciosos que provavelmente executam javascripts do mal, meus pêsames.
|
|
|
|
|
sabotag3x
Legendary
Offline
Activity: 2534
Merit: 2171
Crypto Swap Exchange
|
|
January 07, 2018, 05:46:19 PM |
|
É só atualizar pra versão 3.0.4 e está tudo OK.
Agora, se alguém não usa senha alguma na wallet e visita sites maliciosos que provavelmente executam javascripts do mal, meus pêsames.
Acho que mesmo com senha na wallet corre o mesmo risco.. Pelo que eu entendi pode-se ter controle total sobre ela.. O bom é abandonar estas versões antigas da carteira.. Os mais paranoicos estão mandando dinheiro para um endereço novo.. |
|
|
|
girino
Legendary
Offline
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
|
|
January 07, 2018, 06:35:13 PM |
|
Há menos de 10 min o theymos fixou uma mensagem no fórum citando uma vulnerabilidade em versões anteriores da Electrum. Para os que tem a carteira desatualizada é recomendado que atualize. Aparentemente seria possível um atacante invadir a carteira por meio de website utilizando javascript. Ele recomenda que se utilize a versão 3.0.4 e que clientes com versão anterior sejam desligados imediatamente. Sinceramente não sei até que ponto essa falha é grave e qual a facilidade em explorá-la, mas se mantenham atentos. Tópico do theymos: https://bitcointalk.org/index.php?topic=2702103.0Só tentando esclarecer algumas coisas aqui, porque o anúncio do theymos foi BEM alarmista: 1- Não existe relato de uso dessa vulnerabilidade no mundo real. Apenas as demonstrações feitas pelo cara que a descobriu. 2- Se sua carteira tem senha, não tem perigo de perder fundos, a menos que você destranque a carteira simultaneamente em que acessa um site malicioso. Como não existem relatos de sites maliciosos antes da divulgação da correção, a probabilidade disso ter acontecido com alguem é quase nula. 3- Se você mantinha sua carteira sem senha, você é burro mesmo e merece sofrer! 4- O theymos fala que é pra vc criar uma nova carteira e mover os fundos. Eu fiz isso na pressa, antes de ler mais sobre o bug. Dadas as características do bug, não acredito que seja necessário. Como a vulnerabilidade já foi divulgada, recomendo que não abram a carteira antes de atualizar para a versão 3.0.4. Tirando isso, apenas atualizar deve ser suficiente, até segunda ordem, para se proteger de qualquer ataque. Conclusão: se vc tem muitos fundos na carteira (de forma que a fee dos mineradores não impacte muito pra vc), recomendo atualizar e depois criar uma nova carteira pra onde vc vai transferir todos os fundos. Se você tem poucos fundos na carteira, de forma que a fee vai impactar em muito, apenas atualize, não há necessidade urgente de mover os fundos pra nova carteira. |
Advertise Here - PM for more info!
|
|
|
|
DeltaX_Slayer
|
|
January 08, 2018, 10:11:07 AM |
|
Sabem se a vulnerabilidade afetou a Electrum Android?
|
|
|
|
|
|
Loganota (OP)
|
|
January 08, 2018, 10:25:55 AM |
|
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.
|
|
|
|
|
girino
Legendary
Offline
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
|
|
January 08, 2018, 11:33:27 AM |
|
Sabem se a vulnerabilidade afetou a Electrum Android?
sim, todas as versões em todas as plataformas. |
Advertise Here - PM for more info!
|
|
|
sabotag3x
Legendary
Offline
Activity: 2534
Merit: 2171
Crypto Swap Exchange
|
|
January 08, 2018, 11:57:37 AM |
|
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.
kkkkkkkkkkkk os caras tão de sacanagem, tenho a Electrum só pq assinei meu endereço aqui no fórum e to tendo que fazer essa função, vou só deletar que perco menos tempo e quando precisar eu instalo.. @girino, o problema é que agora que a falha veio a tona o pessoal vai tentar se aproveitar, vai ter gente que vai ficar muito tempo com as versões antigas ou nunca vai atualizar.. eu dei uma olhada no github no dia, se bem me lembro o cara reportou em novembro, se mais alguém viu, teve 2 meses pra testar e fazer algo.. Bom mesmo é já fazer o processo.. |
|
|
|
alegotardo
Legendary
Offline
Activity: 2408
Merit: 1145
☢️ alegotardo™️
|
|
January 08, 2018, 12:51:48 PM |
|
Eita caraca!! Quase que usei essa cartiera!!! Pior que existem fraudes até com os Wallet hardware!!
Pode ser mais específico? Estou aguardando minha ledger nano s acreditando ser uma opção segura para guardar meus BTC. Claro que tudo tem seus riscos, mas gostaria de entender melhor esse seu comentário a respeito das wallet hardware. |
| .
.Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄
███░░░░███░░░░███
▀░░░▀░░▀░░░▀░░▀░░░▀
▄░░░░░░░░░░░░
▀██████████
░░░░░███░░░░▀
░░█░░░███▄█░░░█
░░██▌░░███░▀░░██▌
░█░██░░███░░░█░██
░█▀▀▀█▌░███░░█▀▀▀█▌
▄█▄░░░██▄███▄█▄░░▄██▄
▄███▄
░░░░▀██▄▀ | .
REGIONAL
SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██
██░▀░██░█░███░▀██░███▄█
█▄███▄██▄████▄████▄▄▄██
██▀ ▀███▀▀░▀██▀▀▀██████
███▄███░▄▀██████▀█▀█▀▀█
████▀▀██▄▀█████▄█▀███▄█
███▄▄▄████████▄█▄▀█████
███▀▀▀████████████▄▀███
███▄░▄█▀▀▀██████▀▀▀▄███
███████▄██▄▌████▀▀█████
▀██▄███▀██▄█▄▄▄██▄████▀
▀▀██████████▄▄███▀▀
▀▀▀▀█▀▀▀▀ | .
EUROPEAN
BETTING
PARTNER | |
|
|
|
girino
Legendary
Offline
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
|
|
January 08, 2018, 01:20:59 PM |
|
Update: A versão 3.0.4 ainda está vulnerável de alguma forma, devem atualizar para a 3.0.5.
A 3.0.4 bloqueia ataques externos, mas ainda é vulnerável a ataques vindos da mesma máquina. Poderia ser aproveitado por um malware que conseguisse ser instalado na maquina local. A 3.0.5 corrige o problema em ambos os casos (remoto e local) |
Advertise Here - PM for more info!
|
|
|
|
Forsyth Jones
|
|
January 08, 2018, 02:32:52 PM |
|
@Girino, ainda tem o risco de algum malware extrair a chave pública mestre da carteira, pois a electrum nem pede a senha para termos acesso a xpubkey, e já é possível descobrir alguma chave privada de um xpubkey, ou até mesmo a seed a partir do xpubkey
|
| | Peach
BTC bitcoin | │ | Buy and Sell
Bitcoin P2P | │ | .
.
▄▄███████▄▄
▄██████████████▄
▄███████████████████▄
▄█████████████████████▄
▄███████████████████████▄
█████████████████████████
█████████████████████████
█████████████████████████
▀███████████████████████▀
▀█████████████████████▀
▀███████████████████▀
▀███████████████▀
▀▀███████▀▀
▀▀▀▀███████▀▀▀▀ | | EUROPE | AFRICA
LATIN AMERICA | | | ▄▀▀▀
█
█
█
█
█
█
█
█
█
█
█
▀▄▄▄ |
███████▄█
███████▀
██▄▄▄▄▄░▄▄▄▄▄
█████████████▀
▐███████████▌
▐███████████▌
█████████████▄
██████████████
███▀███▀▀███▀ | .
Download on the
App Store | ▀▀▀▄
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▀ | ▄▀▀▀
█
█
█
█
█
█
█
█
█
█
█
▀▄▄▄ |
▄██▄
██████▄
█████████▄
████████████▄
███████████████
████████████▀
█████████▀
██████▀
▀██▀ | .
GET IT ON
Google Play | ▀▀▀▄
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▀ |
|
|
|
girino
Legendary
Offline
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
|
|
January 08, 2018, 07:43:29 PM |
|
(...)
já é possível descobrir alguma chave privada de um xpubkey, ou até mesmo a seed a partir do xpubkey
tem alguma referencia pra isso? AFAIK, sem computadores quanticos de pelo menos 128 qubits, isso é impossível. |
Advertise Here - PM for more info!
|
|
|
Cazemiro
Member
Offline
Activity: 252
Merit: 31
|
|
January 09, 2018, 01:20:42 PM |
|
Utilizo esta carteira e acredito que seja parte da evolução a constante mudança! É sempre bom cuidar pois cada um é seu próprio banco!
|
|
|
|
|
|
Silenox
|
|
January 09, 2018, 02:42:27 PM |
|
Tudo normal com a versão atual? To querendo instalar ela no android, mas to pensando se coloco ela ou a mycellium.
|
|
|
|
|
Maluscoviski
Member
Offline
Activity: 135
Merit: 10
|
|
January 09, 2018, 05:43:59 PM |
|
ainda bem que avisaram em tempo, esta tudo certo com a versão atual?
|
|
|
|
|
Guzztsar
|
|
January 09, 2018, 09:35:43 PM |
|
Lendo esse tópico eu fiquei um pouco mais tranquilo. Mas uma das carteiras mais confiáveis com essa vulnerabilidade é complicado
|
|
|
|
|
|
Forsyth Jones
|
|
January 10, 2018, 12:32:14 AM |
|
Isso não me incomoda, gente, a Electrum merece o crédito por ser a PRIMEIRA carteira a dar suporte TOTAL ao segwit, os verdadeiros endereços segwit são os endereços no formato bech32 (bc1qxxxxxxxx), já o bitcoin core que é o cliente de referência do bitcoin que nem tem o segwit completo, vc tem que fazer uma gambiarra para criar um endereço segwit, não pode importar pra outra carteira, é muito complicado etc, isso é uma vergonha, pois o core estão prometendo o segwit faz tempo e eles nem deram suporte total ao segwit.
|
| | Peach
BTC bitcoin | │ | Buy and Sell
Bitcoin P2P | │ | .
.
▄▄███████▄▄
▄██████████████▄
▄███████████████████▄
▄█████████████████████▄
▄███████████████████████▄
█████████████████████████
█████████████████████████
█████████████████████████
▀███████████████████████▀
▀█████████████████████▀
▀███████████████████▀
▀███████████████▀
▀▀███████▀▀
▀▀▀▀███████▀▀▀▀ | | EUROPE | AFRICA
LATIN AMERICA | | | ▄▀▀▀
█
█
█
█
█
█
█
█
█
█
█
▀▄▄▄ |
███████▄█
███████▀
██▄▄▄▄▄░▄▄▄▄▄
█████████████▀
▐███████████▌
▐███████████▌
█████████████▄
██████████████
███▀███▀▀███▀ | .
Download on the
App Store | ▀▀▀▄
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▀ | ▄▀▀▀
█
█
█
█
█
█
█
█
█
█
█
▀▄▄▄ |
▄██▄
██████▄
█████████▄
████████████▄
███████████████
████████████▀
█████████▀
██████▀
▀██▀ | .
GET IT ON
Google Play | ▀▀▀▄
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▀ |
|
|
|
|
DeltaX_Slayer
|
|
January 10, 2018, 09:53:30 AM |
|
Isso não me incomoda, gente, a Electrum merece o crédito por ser a PRIMEIRA carteira a dar suporte TOTAL ao segwit, os verdadeiros endereços segwit são os endereços no formato bech32 (bc1qxxxxxxxx), já o bitcoin core que é o cliente de referência do bitcoin que nem tem o segwit completo, vc tem que fazer uma gambiarra para criar um endereço segwit, não pode importar pra outra carteira, é muito complicado etc, isso é uma vergonha, pois o core estão prometendo o segwit faz tempo e eles nem deram suporte total ao segwit.
Já atualizei a electrum, agora estou de boa... Torcendo para o bech32 tornar-se popular logo. Chega de gambiarra pra usar segwit... |
|
|
|
|
|
