+38 (094) 710-48-98
+375 (17) 256-12-67
Перезвоните мне
Ежедневно c 9:00 до 23:00

Уязвимость кошелька Electrum принесла злоумышленникам за два года более $22 млн

 13.10.2020

Уязвимость кошелька Electrum принесла злоумышленникам за два года более $22 млн

Сумма ущерба от уязвимости в старых версиях биткоин-кошелька Electrum превысила $22 млн, свидетельствуют данные расследования ZDNet. Злоумышленники эксплуатируют уязвимость как минимум с декабря 2018 года. За два прошедших года она использовалась в многочисленных мошеннических кампаниях.
Аналитики ZDNet обнаружили несколько биткоин-кошельков, используемых для хранения украденных у пользователей активов. Последние поступления на эти кошельки датированы сентябрем 2020 года. Также в августе один из пользователей сообщал, что потерял 1 400 BTC или около $16 млн, скачав уязвимую версию кошелька.
Существование эксплойта возможно из-за внутреннего устройства Electrum. Для обработки транзакций он подключается к блокчейну биткоина через собственную сеть серверов, именуемых ElectrumX. Установить такой сервер может любой желающий.
С 2018 года киберпреступники пользуются особенностью ПО Electrum для запуска вредоносных серверов в ожидании случайного подключения к ним ничего не подозревающих пользователей. После этого они выводят на экран держателя криптовалюты сообщение о том, что ему необходимо перейти по указанной ссылке для обновления кошелька. Обычно она ведет на домен, схожий с официальным, или в один из репозиториев на GitHub.

Изображение: SoberNight
Скачав кошелек по такой ссылке, пользователь устанавливает на свой компьютер измененную версию Electrum. При первом запуске кошелек просит ввести одноразовый пароль. Его достаточно для того, чтобы украсть все биткоины с кошелька жертвы.
С момента обнаружения проблемы разработчики Electrum приняли несколько мер для защиты пользователей. Изначально они внедрили механизм, позволяющий включать сервера ElectrumX в черный список. Также они запретили серверам показывать произвольные всплывающие сообщения. Тем не менее, у них нет способа защитить пользователей, скачивающих более старые версии ПО.
 
Источник: cryptocurrency.tech
Сообщение Уязвимость кошелька Electrum принесла злоумышленникам за два года более $22 млн появились сначала на buy-bitcoin.io.