Биткоины на 16 млн. долларов исчезли из криптовалютного кошелька Electrum. Примечательно, что кража не является виной ни разработчиков, ни пользователя, но подчеркивает важность двух ключевых проблем.
Крипто-энтузиаст для хранения своих активов использовал программное обеспечение Electrum, но не пользовался кошельком с 2017 года. С тех пор для кошелька было выпущено несколько важных обновлений безопасности, которые не установил ходлер. Этим и воспользовались хакеры.
Когда пользователь спустя несколько лет попытался переместить свои биткоины, ему было предложено обновить и исправить потенциально критические проблемы.
Но когда ходлер попробовал обновить ПО, программа связалась с сервером хакера, используя эксплойт, который, вероятно, предотвратило бы настоящее обновление безопасности. 1'400 BTC были немедленно переведены из кошелька в кошелек хакера — мрачное напоминание о необходимости всегда обновлять программное обеспечение своевременно.
Читайте по теме: Хакеры вывели $1,4 млн. с европейской криптобиржи
Поскольку Electrum является «легким клиентом», инженер-программист Бен Кауфман объяснил в твиттере, что программное обеспечение должно подключаться к общедоступному серверу, прежде чем оно будет подключено к блокчейну.
Именно эта доверенная третья сторона выступает в роли посредника, с помощью которого хакеры могут использовать процесс обновление ПО в свою пользу— еще одно ключевое напоминание о том, что нельзя доверять третьим сторонам свои личные ключи.
Крипто-энтузиаст, который стал жертвой, не сможет вернуть свои средства, но некоторым повезло больше.
Те, кто сталкивается с этой проблемой и действуют достаточно быстро, потенциально могут успеть совершить иную транзакцию, пока не подтвердилась транзакция хакера (если злоумышленник использовал достаточно низкую комиссию).
Для всех остальных пусть это будет напоминанием о необходимости обновлять свое программное обеспечение и по возможности полагаться на методы холодного хранения.