大量比特币钱包暴露，开发商 Electrum 紧急修复 JSONRPC 接口漏洞

外媒 1 月 10 日消息，知名钱包开发商 Electrum 近期针对其比特币钱包的 JSONRPC 接口漏洞发布了安全补丁。 据悉，该漏洞允许托管 Electrum 钱包的恶意网站通过 Web 浏览器窃取用户的加密货币，研究人员猜测这可能与 JSONRPC 接口中的密码暴露有关。此外，攻击者还可以利用该漏洞获得私人数据，例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。

  研究人员介绍了该漏洞的具体细节：当 Electrum 后台程序运行时，在 web 服务器上不同虚拟主机的攻击者可以通过本地的 RPC 端口轻易地访问 electrum 钱包。此外，该漏洞还允许攻击者在运行 Electrum 时修改用户设置。

  相关媒体报道称该漏洞早在两年前就已经存在，Electrum 之前也发布过针对该漏洞的安全补丁，不过当时并未起到作用。研究人员建议用户应升级其 Electrum 软件，并停止使用旧版本。