Google 開發人員發現比特幣錢包 Electrum 漏洞可能導致資金被網站竊取

Google 研究人員 Tavis Ormandy 發現了比特幣錢包 Electrum 中的一個嚴重漏洞，允許任何網站竊取用戶的代幣。當用戶開啟著舊版本的錢包程式並且瀏覽網站，只要錢包沒有設定密碼保護，或是密碼太好猜測，則網站將可能竊取錢包中的代幣。

上周末，Ormandy 在推特上敦促加密貨幣愛好者盡速將 Electrum 錢包應用程式更新到最新版本，因為他最近偶然發現了一個嚴重漏洞，這個漏洞影響了從 2.6 到 3.0.3 的所有版本。

Ormandy 說當他發現這個問題時，有另一位眼尖的研究人員早在 2017 年 11 月 25 日便已經回報了這個漏洞，但 Electrum 並沒有修復問題。於是他必須聯繫 Electrum 來強調這個問題的急迫性，而 Electrum 則在數個小時後發布了緊急應對版本 3.0.4。

繼 Ormandy 的發文一天之後，Electrum 又發布了一個完整更新版本 3.0.5，目前可以從官方網站下載。由於錢包沒有內建自動升級機制，因此所有用戶都必須手動更新。

Electrum 在聲明中指出，用戶「需要」升級，但不必「急於升級」。重要的是，不要使用舊版本的應用程式，只要在存取錢包之前更新到新版本就不會有問題。

但如果過去曾在沒有設定密碼或是密碼過於簡單的情況下瀏覽網站，則錢包可能已被危及，推特上有一名網友模擬了利用漏洞找出錢包密碼和種子碼 (seed) 的過程。

因此若是擔憂的用戶，可以用新版本的應用程式創建一個新錢包，再將舊錢包中的比特幣轉移過去。