技术漏洞导致数千比特币钱包被曝光 Electrum客户端亟待修补漏洞

颇受欢迎的钱包开发商Electrum（比特币客户端）已经发布了一个针对比特币钱包中一个关键漏洞的紧急补丁。该漏洞允许承载电子钱包的任何网站都有可能盗取用户的加密货币。该漏洞意味着密码在JSONRPC界面被暴露，使得黑客完全控制了钱包。然而，第一个补丁未能修复这个问题，迫使Electrum周日晚上再次发布更新版本。

客户端漏洞导致数千比特币钱包被曝光 Electrum客户端着手修补漏洞

亟待修复一个长期存在的Bug(漏洞)

上周，有关英特尔电脑芯片故障的消息震动了整个科技行业，这些芯片多年来一直未被发现。这是一个与Electrum钱包脆弱性类似的故事，一些报道称，它已经存在了两年多。谷歌的漏洞研究人员塔维诺曼底（Tavis Ormandy）声称，他发现了这一漏洞，尽管该漏洞在去年被标记了。在Electrum被指出这一漏洞的几个小时内，Electrum就匆忙地拿出了一个补丁来补救。

客户端漏洞导致数千比特币钱包被曝光 Electrum客户端着手修补漏洞

在Bitcointalk的一个论坛帖子中，网站管理员Theymos解释说：“如果在过去的任何时候你已经登录了没有钱包密码的Electrum，并打开网页，那么您的钱包可能已经被盗用。特别偏执狂的人可能想要把他们旧的Electrum钱包中的所有比特币（BTC）都发送到新生成的Electrum钱包。”

他后来更新了他的帖子，并补充说：“如果你没有设置钱包密码，那么盗窃就很微不足道了。如果你的钱包密码设置的很好，那么攻击者似乎只能从你的钱包中获得地址/交易信息，并且改变你的Electrum设置，至于后者，在我看来是有很大机会被黑客进一步利用的。所以，如果你设置了钱包密码，相对而言，一定程度上可以减少你的恐慌，但你仍然应该认真对待这个问题。”

客户端漏洞导致数千比特币钱包被曝光 Electrum客户端着手修补漏洞

存在致命缺陷

在11月24日首先在Github上报道这一缺陷的人解释说：“当Electrum后台程序运行时，web服务器上的另一个虚拟主机上的人可以通过本地的RPC端口轻松地访问您的钱包。目前，还没有保密措施/身份验证，允许某人访问整个RPC端口，并完全访问这个钱包。”