6 января в программном обеспечении кошелька Electrum была обнаружена уязвимость, которая позволяет вредоносным веб-сайтам выполнять команды кошельков через JSONRPC, выполненные в веб-браузере. Ошибка затрагивает версии 2.6 до 3.0.4 от Electrum на всех платформах. Это также влияет на клоны Electrum, такие как Electron Cash.

Кошельки, которые не защищены паролем, подвержены риску кражи, если они открыты с версией Electrum старше 3.0.5, в то время как веб-браузер активен.

Кроме того, уязвимость позволяет злоумышленнику изменять пользовательские настройки, список контактов в кошельке и поля «payto» и «amount» пользовательского интерфейса во время работы Electrum.

Несмотря на то, что из-за этой уязвимости пока не было обнаружено кражи биткойнов, риск значительно увеличивается, когда уязвимость была обнародована.

Злоумышленник может получить личные данные, такие как: адреса биткойнов, хэш транзакций, метки адресов, контакты кошелька и основные открытые ключи.

Все пользователи должны обновить программное обеспечение Electrum и прекратить использование старых версий.

Пользователи, которые не защитили свой кошелек паролем, должны создать новый кошелек и перенести свои средства на этот кошелек. Даже если он никогда не получал никаких средств, кошелек без пароля больше не должен использоваться, потому что его адрес может быть скомпрометирован.

Кроме того, пользователи должны просмотреть свои настройки и удалить все контакты из своего списка, поскольку биткойн адреса их контактов могут быть изменены.

Источник на github