Electrum bergerak cepat untuk menutupi bug yang meninggalkan ribuan dompet bitcoin yang terpapar.
AnalisaBitcoin78 - Pengembang dompet populer Electrum telah mengeluarkan patch darurat untuk bug kritis pada dompet bitcoin-nya. Cacat tersebut mengizinkan situs web mana pun yang memasang dompet Electrum untuk berpotensi mencuri kripto pengaman pengguna. Kerentanan berarti bahwa kata kunci terekspos dalam antarmuka JSONRPC, memberikan kontrol penuh kepada hacker terhadap dompet. Patch pertama gagal memperbaiki masalah, memaksa Electrum mengeluarkan update kedua pada hari Minggu malam.
Sebuah perbaikan cepat untuk masalah pengarsipan yang panjang.
Pekan lalu, dunia teknologi diguncang oleh berita tentang bug di chip komputer Intel yang sebelumnya telah ditemukan bertahun-tahun. Ini adalah cerita yang sama dengan kerentanan dompet Electrum, dengan beberapa laporan yang menyatakan bahwa hal itu telah ada selama lebih dari dua tahun. Peneliti kerentanan Google Tavis Ormandy mengklaim telah menemukan bug tersebut, meskipun cacat tersebut telah ditandai tahun lalu. Beberapa jam kemudian Ormandy menunjukkan kerentanannya, Electrum telah bergegas keluar dari sebuah patch untuk memperbaikinya.
Dalam posting forum Bitcointalk, admin situs Theymos menjelaskan: "Jika pada suatu saat di masa lalu Anda memiliki Electrum terbuka tanpa set passphrase dompet; dan membuka halaman web, mungkin saja dompet Anda sudah terganggu. Terutama paranoid orang mungkin ingin mengirim semua BTC di dompet Electrum lama mereka ke dompet Electrum yang baru dibuat. "
Dia kemudian memperbarui jabatannya, menambahkan: "Jika Anda tidak memiliki set kunci dompet, maka pencurian itu sepele. Jika Anda memiliki kumpulan kata kunci dompet yang agak layak, nampaknya penyerang bisa "hanya" mendapatkan info alamat / transaksi dari dompet Anda dan mengubah pengaturan Electrum Anda, yang terakhir sepertinya saya memiliki kemungkinan besar untuk dieksploitasi. lebih lanjut. Jadi jika Anda memiliki kumpulan kata kunci dompet, Anda bisa mengurangi kepanikan Anda dengan beberapa takik, namun Anda harus tetap memperlakukannya dengan sangat serius. "
Sangat cacat.
Individu yang pertama kali melaporkan kekurangan pada Github pada 24 November menjelaskan: "Sementara daemon electrum berjalan, seseorang di host virtual server virtual yang berbeda dapat dengan mudah mengakses dompet Anda melalui port RPC setempat. Saat ini, tidak ada keamanan / otentikasi, memberi seseorang akses ke port RPC akses penuh ke dompet. "
Electrum adalah perangkat lunak bebas yang digunakan oleh banyak situs kriptografi, termasuk pedagang dan bursa, untuk menyimpan bitcoin. Siapa pun dapat menjalankan server Electrum dan perangkat lunaknya mendukung dompet perangkat keras seperti Trezor, Ledger dan Keepkey. Fitur yang disempurnakan termasuk multi-sig dan kemampuan untuk menandatangani transaksi menggunakan perangkat penyimpanan dingin yang tidak terhubung ke web.
Bug tersebut tampaknya telah diperbaiki sebelum terjadi kerusakan - walaupun pada usaha kedua setelah patch pertama terbukti tidak efektif - walaupun mengingat lamanya waktu yang belum ditemukan, sulit untuk mengatakan dengan pasti bahwa tidak ada dana yang dicuri. Kasus ini menggambarkan, sekali lagi, risiko meninggalkan bitcoin yang tersimpan dalam dompet web.
Apakah Anda merasa nyaman menyimpan bitcoin Anda di dompet web? Beri tahu kami di bagian komentar di bawah ini.
Tidak ada komentar:
Posting Komentar