CertiK: Github ユーザーからの 1,400 ビットコインの盗難の分析

文章

文章

文章

文章

文章

文章

副題

イベントの回復と分析

ユーザーは Electrum Bitcoin ウォレットを使用していますが、最後に使用されたのは 2017 年です。それ以来、Electrum はセキュリティ更新プログラムをリリースしましたが、ユーザーはそれらをインストールしていません。

ユーザーが Electrum を使用してトランザクションを行うと、ウォレットはサーバーにトランザクションをブロードキャストします。トランザクションに問題がある場合、サーバーはエラー メッセージを返し、ポップアップの形式でユーザーに表示します。窓。

バージョン 3.3.2 より前の Electrum ウォレットは、サーバーから返されたエラー情報を検証せず、返された情報を HTML でレンダリングすることさえありません (リンク 4 を参照)。

文章

文章

文章

文章

文章

文章

副題

CertiK セキュリティ チームのアドバイス

• ユーザーが取引にウォレットを使用する場合、ウォレットが最新バージョンであることを確認する必要がありますが、古いバージョンのウォレットにはハッカーが悪用できる抜け穴がある可能性があります。

• ウォレットのアップデートをダウンロードする際、ユーザーはダウンロードURLが公式のものと一致しているかどうかを確認し、ダウンロード完了後にウォレットの署名を検証することに注意する必要があります。

• 参考リンク：

参考リンク：

1. https://github.com/spesmilo/electrum/issues/5072

2. https://zhuanlan.zhihu.com/p/53920688

3. https://www.blockchain.com/

4. https://github.com/spesmilo/electrum/issues/4968

5. http://twitter.com/electrumwallet/status/1106479573917724672