Luka bezpieczeństwa została znaleziona w portfelu Electrum. Niesie ona zagrożenie związane z utratą środków z portfela i zaleca się aktualizację do najnowszej wersji 3.0.4. Informacja została dzisiaj ogłoszona przez administratora forum bitcointalk.org – theymos. Jeżeli masz własnie włączony portfel Electrum albo pochodny jak na przykład Electron Cash to wyłącz go natychmiast i przeczytaj dalej.
Na głównej stronie portfela Electrum pojawił się dzisiaj poniższy komunikat.
Luka bezpieczeństwa o której mowa pozwalała na wykradzenie portfela stronom internetowym przez JavaScript. Prawdopodobnie oprogramowanie, które powstało na bazie Electrum czyli podany wcześniej Electron Cash, może być również narażone na ataki. Jeśli nie używasz żadnego z tych programów to możesz odetchnąć z ulgą. Theymos w swoim poście mocno podkreślił, że Electrum powinno zostać zamknięte jak najszybciej i następnie zaktualizowane do najnowszej wersji 3.0.4. Aby być pewnym, że ściągnięta wersja jest poprawna należy dokonać weryfikacji przy pomocy podpisu PGP. O tym jak dokonać takiej weryfikacji podpisu możecie przeczytać w drugiej części serii – Kryptowaluty i kryptografia #2 – Szyfrowanie wiadomości.
Co do samej aktualizacji oprogramowania to nie trzeba się aż tak spieszyć i można zaczekać do momentu gdy sytuacja się bardziej wyjaśni. Ważnym jest aby nie używać starych wersji. Jeśli mieliście starą wersję gdzieś na dysku ale nie była używana to nie jest ona zagrożeniem dopóki będziecie pamiętać o jej aktualizacji przed użyciem.
Kto jest najbardziej zagrożony?
Jeśli w przeszłości miałeś otwarty portfel Electrum bez ustawionego hasła i otwartą stronę internetową to istnieje prawdopodobieństwo, że jesteś zagrożony. Z drugiej strony, jeśli Twoje środki nadal znajdują się na tym samym adresie to może to być wątpliwe, ponieważ haker by je od razu ukradł. Luka bezpieczeństwa została naprawiona kilka godzin temu a bardziej szczegółowe instrukcje i informacje powinny pojawić się niedługo.
Do grupy największego ryzyka należą ci, którzy nie mieli ustawionego hasła. Osoby z mocnym hasłem są dużo bezpieczniejsze i atakujący mógł teoretycznie tylko ingerować w ustawienia portfela. Pamiętajcie aby zawsze dbać o bezpieczeństwo swoich środków. W świecie kryptowalut gdzie nie ma pośrednika takiego jak bank użytkownicy sami odpowiadają za bezpieczeństwo swojego skarbca i dlatego każdą taką informacje należy brać bardzo poważnie.
linuxowcy – gdyby w trakcie wyskoczyło coś podobnego:
scrypt-1.2.0/libcperciva/crypto/crypto_aes.c:6:25: fatal error: openssl/aes.h: Nie ma takiego pliku ani katalogu
compilation terminated.
error: command 'x86_64-linux-gnu-gcc’ failed with exit status 1
dodać ponizsze i ponowić instalacje:
sudo apt-get install libssl-dev
linuxowcy – gdyby w trakcie wyskoczyło coś podobnego:
scrypt-1.2.0/libcperciva/crypto/crypto_aes.c:6:25: fatal error: openssl/aes.h: Nie ma takiego pliku ani katalogu
compilation terminated.
error: command 'x86_64-linux-gnu-gcc’ failed with exit status 1
dodać ponizsze i ponowić instalacje:
sudo apt-get install libssl-dev