Bitcoin-кошелек Electrum сливал пароли

Разработчики выпустили версии 3.0.4 и 3.0.5 отключающие консоль Javascript, но в случае работы компьютера на процессорах Intel, AMD и ARM остается риск хищения любых ключам развернутых программ.

Уязвимости подвержены все программы-клиенты, созданные на основе кода Electrum, при отсутствии защиты сложным паролем или в момент активной работы, когда пользователь отправляет транзакцию, проверяет баланс и т.д.

Electrum, один из официальных десктопных и мобильных кошельков сайта Bitcoin.org, работающий под операционными системами Windows и Android без скачивания блокчейна. Это так называемая «легкая версия», доступ к блокчейну осуществляется при подключении к удаленному серверу, а секретные ключи и пароли хранятся на персональном компьютере или смартфоне.

Архитектура 90% современных CPU не защищает ключи и пароли при работе с запущенными программами, в ядре процессора. Атака по методу Meltdown и Spectre позволяет с помощью запущенных в браузере или на компьютере вредоносных кодов экспортировать эти данные.