Команда bitcoin-кошелька Electrum подтвердила наличие критичной незащищенности, позволяющей получить доступ к средствам юзеров через Javascript. Разработчики кошелька утверждают, что решили эту проблему, выпустив, в срочном порядке, новые обновления.
После того, как некоторые пользователи поняли, что веб-сайты злоумышленников могли красть bitcoin при их посещении, если кошелек Electrum в это время был запущен, появились сообщения на Reddit и BitcoinTalk.
Доступ к ресурсам пользователей, скорее всего был возможен через включенный по умолчанию интерфейс JSON RPC, через который взломщикам передавались произвольные консольные команды на экспорт ключей.
Самой большей угрозой подверглись кошельки без установленного пароля, а пароли повышенной сложности давали относительную безопасность только в том случае, если обладатель кошелька не совершал в это время транзакций.
Незащищенность была отчасти исправлена в версии 3.0.4, а ночью в понедельник, 8 января, команда Electrum выложила версию 3.05 кошелька, которая, как считают разработчики кошелька, закрывает незащищенность более надежно.