«Биткоин-кошелек Electrum позволяет любому сайту украсть ваши биткоины, — написал в Твиттере сотрудник Google Тэвис Орманди. — Я сообщил о проблеме, и команда Electrum выпустила новый релиз в течение нескольких часов. Обновите до 3.0.4, если вы используете это приложение».
6 января 2018 года в кошельке Electrum обнаружили баг, предоставляющий доступ к приложению через Javascript. Уязвимость позволяет злоумышленникам экспортировать приватные ключи пользователей (используя включенный по умолчанию интерфейс JSONRPC), даже если владелец кошелька не совершает транзакций.
Проблема этой уязвимости была частично решена в версии 3.0.4, которую и рекомендует Тэвис Орманди, а утром 8 января 2018 года разработчики выпустили еще более защищенную версию кошелька — 3.05. В ней интерфейс JSON RPC отключен и кошелек по умолчанию защищается паролем. Обновляемся и живем дальше!
