В криптокошельке electrum обнаружена уязвимость

В криптокошельке electrum на протяжении двух лет присутствовала серьезная уязвимость

Ошибка в исходном коде, позволяющая сторонним лицам завладеть средствами пользователей, затронула и многочисленные «клоны» кошелька.

Для пользователей криптовалют есть не так много способов для хранения своих активов. И аппаратные кошельки активно конкурируют на этом поле с виртуальными.

С одной стороны, конечно, электронные кошельки – это быстро, дешево и удобно.

Однако не проходит и пары месяцев, чтобы не выявилась очередная угроза для их безопасности, и хорошо, если это не приведет к заморозке всех средств, как это было с кошельками Parity.

Многие держатели крипты имели дело с кошельком Electrum, известным, как удобное решение, работающее на большинстве устройств.

Увы, но и в его программном обеспечении был обнаружен серьезный недостаток, который мог сделать хранящиеся на нем средства доступными для злоумышленников.

Это, по всей видимости, затрагивает и все «скопированные» версии Electrum, только умножившие количество денег, попадающих под обозначенный риск.

Это уже не первый раз, когда популярный криптовалютный кошелек обнаруживает ошибку, которая потенциально может стоить миллионов долларов.

В случае с Electrum дело усложняется еще и тем, что этот кошелек и в самом деле очень популярен в силу удобства его установки и использования.

В отличие от более традиционных решений, Electrum является клиентом SPV, который не требует полной загрузки блокчейна для начала работы. Это стало настоящим подарком для тех людей, которые просто хотят рабочий кошелек для быстрого и безопасного перевода средств.

Более того, Electrum стал идеальным решением для разработчиков криптовалют, которые хотели создавать под них мобильные кошельки. У Electrum открытый исходный код, и сейчас уже есть много разных версий этого кода – к сожалению, все эти версии потенциально подвержены тому же риску.

Вопрос о уязвимости кошелька был поднят на форуме BitcoinTalk после того, как стало известно о случаях кражи биткоинов с запущенного кошелька Electrum при посещении вредоносных сайтов.

Оказалось, что по умолчанию был включен интерфейс Json RPC, через который хакерам могли передаваться произвольные консольные команды – в том числе на экспорт приватных ключей. Естественно, под удар в первую очередь попали кошельки без установленного пароля.

Однако даже при наличии парольной защиты операторы вредоносных сайтов могли в случае совершения транзакции перенаправить криптовалюту на свой собственный адрес.

Сейчас команда биткоин-кошелька уже подтвердила устранение этой критической ошибки, присутствовавшей в коде на протяжении двух лет – с февраля 2016 года. Внеплановое обновление 3.0.4, а затем 3.0.5 решили проблему основного кошелька – отключили интерфейс JSON RPS при запущенном графическом интерфейсе кошелька и включили защиту паролем по умолчанию.

Тем не менее, вопрос с безопасностью многочисленных клонов на базе его исходного кода остается открытым. До тех пор, пока их разработчики вручную не установят новый фикс в свой продукт, альткоины продолжают оставаться незащищенными от действий третьих лиц.

Как пояснил в интервью Motherboard лондонский исследователь из университета Кингс-колледж Мустафа аль-Бассам, угроза эксплуатации и оригинального кошелька по-прежнему актуальна, так как его версии под Windows и Linux не имеют встроенного механизма обновления. Всем пользователям Electrum настоятельно рекомендуется проверить версию своего кошелька и при необходимости – вручную обновить его до последней.

Более того, нет никаких гарантий, что ваш кошелек Electrum уже не оказался скомпроментирован. Если, желая подстраховаться, пользователь захочет перевести все средства на другой счет, при этом не использовав его на протяжении последних нескольких недель или месяцев, не стоит открывать свой кошелек до тех пор, пока не будут выполнены обновления до последней версии.

Несмотря на то, что уязвимость довольно неприятная, пока нет никаких указаний на то, что чьи-то деньги действительно были украдены из кошелька в результате этой ошибки.

Тем не менее, это можно счесть скорее счастливым случаем – с момента, как информация о незащищенности кошельков была обнародована, следует особенно остерегаться хакеров, которые могут попытаться успеть урвать легких денег по описанной схеме.

Так или иначе, в мире криптовалют эта история – весьма серьезный сигнал.

Если даже один из самых популярных клиентов может быть скомпроментирован кодом JavaScript, это может свидетельствовать о том, что разработчики просто не успевают глубоко изучить вопрос кибербезопасности в попытке угнаться за стремительно развивающимся рынком.

Между тем по мере того, как в этой сфере начинают крутиться действительно большие деньги, их защищенность должна стать приоритетом номер один у всех разработчиков клиентских приложений и сайтов, так или иначе аффилированных с криптовалютами.

Читайте также наш материал о лучших способах хранения криптовалюты!

Источник

Источник: https://BlockChain.ru/posts/v-kriptokoshelke-electrum-na-protyazhenii-dvuh-let-prisutstvovala-sereznaya-uyazvimost

Кошелек для криптовалют Electrum: полный обзор инструмента

Публичный криптотрейдинговый экспериментПроверяем эффективность трейдинговых стратегий, рискуя 1000$ ежемесячно. Один месяц — одна стратегия, которая либо даст хорошую прибыль, либо принесет серьезный убыток.

Кошелек для криптовалают Electrum — один из старейших криптовалютных кошельков «горячего» типа, то есть позволяющих подключаться к блокчейну при помощи простой и легкой программы, установленной на ПК или другое устройство. С годами он не потерял популярности, хотя нельзя сказать, что работа его безупречна.

Впрочем, достоинств у него действительно немало, а недостатки не слишком затрудняют использование, если знать, как их обходить. О положительных и отрицательных особенностях Electrum — в этой cтатье!

Кошелек для криптовалют Electrum: история создания

Идея создания Electrum пришла специалисту по нейросетям Томасу Войтлену (Thomas Voegtlin) в сентябре 2011 года, как он сам заявляет, после провала проекта Mybitcoin, когда стало очевидно, что криптосообщество нуждается в надежной и удобной программе, которая позволила бы использовать относительно недавно появившийся Биткоин.

Первая версия Electrum увидела свет уже в ноябре 2011 года и довольно быстро завоевала популярность в кругах биткоин-пользователей — потому что альтернатив было мало, а Electrum на фоне прочих выглядел респектабельно.

В течение нескольких лет Войтлен оптимизировал кошелек, но параллельно занимался и другими проектами, а к 2015 году открыто заявил, что не против сторонних доработок.

На протяжении еще нескольких лет Electrum дорабатывали и исправляли разные специалисты. Внести свой вклад в улучшение программы по сей день может любой желающий. Полный код кошелька можно скачать с официального сайта.

На сегодня Electrum представляет собой моновалютный криптокошелек, доступный для использования на разных платформах.

Как устроен кошелек для криптовалют Electrum?

Строго говоря, моновалютность Electrum относительна. Существует несколько видов этого кошелька — для разных криптовалют.

Некоторые из них поддерживаются Electrum Technologies GmbH, которая ориентирована на развитие бренда Electrum, а некоторые являются доработками отдельных программистов, создающих собственных продукт на базе кода Electrum, и сообществом Electrum не поддерживаются.

Официально существуют Bitcoin-кошелек и Dash-кошелек. Также Electrum официально поддерживает Vertcoin. Примером Electrum-кошелька, который создан энтузиастами на базе исходного кода и не имеет прямого отношения к сообществу разработчиков, является Electrum-Litecoin.

Все перечисленные кошельки полностью отделены друг от друга, скачиваются с разных сайтов, настраиваются и используются как разные программы и не могут быть объединены в одну.

Но в силу того, что все они используют одинаковый исходный код, функционал, работа и особенности всех кошельков, по крайней мере официально поддерживаемых, более или менее одинаковы. Например, при выборе кошелька для Dash можно ориентироваться на особенности биткоин-версии Electrum и наоборот.

Версией, работа над которой ведется в первую очередь, является Bitcoin-Electrum.

Кошелек для криптовалют Electrum: использование на разных устройствах

Electrum — кроссплатформенный проект, то есть может использоваться в разных операционных системах и на разных устройствах. Официально поддерживает Windows, Linux (в том числе Linux Tails), OSX и Android.

Существует официальная портативная версия Electrum, весьма популярная у многих пользователей ввиду того, что позволяет сделать «аппаратный» кошелек без лишних затрат, а именно — создать кошелек-флешку.

Проделывается это методом установки на обычную флешку пароля и прочих элементов защиты и записыванием портативной версии Electrum.

Когда требуется перевести деньги, флешка подключается к компьютеру, а в остальных случаях хранится отдельно, что в значительной мере позволяет обезопасить кошелек от вирусных атак и перехвата приватных данных.

Как создать кошелек для криптовалют Electrum?

Для создания Electrum нужно сделать следующие действия:

  • Скачать установочный файл (или использование соответствующей команды в терминале, если речь идет о Linux, и так далее). Версию Electrum для Bitcoin можно скачать Electrum.org; версию для Dash — c Electrum.dash.org и так далее.
  • Установить и настроить программу. Главная особенность здесь — выбор необходимого типа кошелька.

Electrum позволяет создавать защищенные кошельки, требующие при отправке транзакций ввода дополнительного ключа по принципу двухфакторной аутентификации (или мультиподписи) с помощью сервиса TrustedCoin.

Для повышения уровня защиты предполагается использование двух устройств — например, компьютера и смартфона. Если на компьютере совершается транзакция, дополнительный ключ от TrustedCoin шифруется с помощью QR-кода и пользователь смартфоном сканирует код, подтверждая, что он действительно хочет отправить деньги.

Использование кошелька Electrum с двухфакторной аутентификацией имеет одну негативную сторону: оно платное. Пользователю за определенную сумму предоставляется набор одноразовых паролей, которые он расходует по мере надобности — каждый раз, когда отправляет транзакцию.

Пароли покупаются «пачками», причем чем больше их пользователей купит единоразово, тем дешевле они ему обойдутся.

Покупка 20 подписей обойдется в 0,002 ВТС, то есть каждое подтверждение будет стоить 0,0001 ВТС, а 100 подписей можно купить за 0,005 ВТС, т. е. каждая подпись обойдется пользователю дешевле — в 0,00005 ВТС.

Отключить TrustedCoin и, соответственно, двухфакторную аутентификацию в Electrum можно в любой момент.

Кроме того, она вовсе не используется по умолчанию.

При установке программы и создании нового кошелька можно выбрать другую разновидность Electrum — Standard wallet. «Стандартный кошелек» защищен только паролем и, соответственно, бесплатен.

Все остальные особенности установки, настройки и использования кошелька Electrum не должны вызвать особых трудностей и вопросов. Он предполагает следующие стандартные возможности:

  • Генерация seed-фразы, которая позволит восстановить доступ при потере пароля. При установке потребуется ее записать, причем программа проверяет сознательность пользователя, в следующем же окне предлагая записанную фразу ввести.
  • Создание пароля к кошельку. Может состоять практически из любых символов.
  • Создание неограниченного количества кошельков, которые могут использоваться для отправки/получения/хранения поддерживаемой валюты.
  • Создание резервных копий.

Источник: https://cryptonet.biz/ru/koshelek-dlya-kriptovalyut-electrum-polnyj-obzor-instrumenta/

Выбираем криптокошелек для хранения цифровых монет

Криптокошелек — неизменный атрибут каждого современного человека. Криптовалюты уже не являются диковинкой, они уверенно пробираются в офлайн, а онлайн-пространство давным-давно успели покорить — уже не удивительна покупка за биткоины товаров, инвестиции в эфирах или благотворительность в монеро.

Цифровые монеты стали частью нашей современной жизни, тут и там мы слышим о том, как заработать токены, как использовать крипту и зачем нужен блокчейн — чтобы идти в ногу со временем не стоит отвергать эти технологии, к тому же иметь криптовалюту очень выгодно.

Но если о криптовалюте в целом и в частности вы уже читали не в одной статье блога и с ней все понятно, то в вопросе хранения крипты осталась некоторая недосказанность.

Предлагаю заполнить пробелы и определить, где же безопасно, удобно и мобильно хранить свои криптоденьги.

Что такое криптокошельки?

Криптовалюта, представляя собой разновидность цифровых денег с уникальными особенностями, используется не совсем так, как привычные для нас средства платежа.

Касается это и способов хранения денег этой разновидности, которые могут быть самыми разнообразными и именуются криптокошельками. Кто-то со спокойной душой отдает свои деньги на хранение биржам, например, в этом плане многие предпочитают Exmo.

Но, как показывает практика, хранение на биржах — это большая ошибка, которая может привести к потере средств.

Криптокошелек — хранилище для криптовалюты, которое обеспечивает не только надежность сохранности средств, но и позволяет ими оперировать. Это значит, что кошелек выполняет непосредственно и функции отправки, а также получения монет.

Все криптокошельки можно классифицировать по разным группам в зависимости от уровня надежности, типа и особенностей хранения, количества поддерживаемых валют и т.д.:

  • Одновалютные и мультивалютные — первый вариант позволяет хранить одну конкретную монету, тогда как второй — сразу несколько в одном месте, что делает их последующее использование более удобным.
  • Холодные и горячие — то есть те, которые подключены к сети, и те, которые хранятся офлайн. Последние являются более безопасными и, в то же время, часто не такие удобные, как горячие.
  • Десктопные, гибридные и онлайн кошельки — в зависимости от того, каким образом пользователь получает доступ к монетам и на чьей стороне находятся ключи.

Определенно сказать, какой тип кошельков самый лучший, нельзя. У каждого пользователя свои приоритеты относительно того, каким должен быть уровень безопасности и какой уровень удобства подойдет для комфортного пользования своими монетами. Поэтому выбор кошелька — дело сугубо индивидуальное, а я лишь могу подтолкнуть вас к этому выбору, представив наиболее популярные криптобумажники.

Мультивалютный криптокошелек

Считается, что мультивалютный кошелек — это наиболее удобный вариант, когда хранить все имеющиеся монеты можно в одном месте.

Действительно, с одним кошельком меньше заморочек, не нужно хранить данные доступа сразу к нескольким клиентам, а необходимая сумма денег всегда находится под рукой.

Но такое удобство имеет свою цену — к примеру, если ваш кошелек взломают, он соскамится или в нем обнаружатся дыры, то вы очень рискуете потерять все монеты одним разом. Именно поэтому к выбору мультивалютного бумажника стоит подходить очень тщательно.

Криптонатор

Один из наиболее популярных кошельков в сети — Криптонатор. Онлайн хранилище рассчитано на достаточно большое количество монет и даже фиатных средств. В кошельке можно надежно хранить, быстро отправлять и получать монеты, тут же их обменивать в различных направлениях. При этом получить доступ к клиенту можно как с ПК, так и со смартфона — для андроида и айфона есть свои приложения.

Особенности кошелька Криптонатор:

  • Поддерживает 15 криптовалют.
  • Поддерживает возможность пополнения счета через карты, Яндекс. Деньги, Пеер, фиат с легкостью можно обменять на крипту.
  • Моментальный вывод средств в рублях.
  • Персональный счет клиента защищен современными банковскими стандартами безопасности, есть двухфакторная аутентификация.
  • Кошелек полностью анонимен.
  • Есть реферальная программа.

Недостатки у Криптонатора также есть. Несмотря на много положительных отзывов, кошелек часто грешит тем, что отправленные монеты не доходят к адресату, а служба поддержки не очень охотно идет на встречу клиентам.

HolyTransaction

Популярный кошелек в странах Европы, так как в этом регионе есть целая сеть банкоматов HolyTransaction. Пользователи отмечают, что кошелек очень удобен и приятен в использовании, особенно для новичков. Среди особенностей кошелька:

  • Поддерживает 12 криптовалют.
  • Безопасность на высоком уровне, есть двухфакторка и возможность составления сложного пароля.
  • Имеет много положительных отзывов.
  • Основной минус — ключи доступа хранятся на сервере.

Jaxx

Достаточно популярный клиент, имеющий как свои преимущества, так и недостатки. Во-первых, Jaxx имеет две версии — десктопную и для смартфонов, что делает кошелек более мобильным. Во-вторых, клиент интегрирован с биржей, а это дает возможность совершать обменные операции прямо в кошельке. Но минусы кошелька гораздо существеннее плюсов:

  • Фиксированная комиссия.
  • Низкий уровень безопасности (четырехзначного пароля явно недостаточно для того, чтобы обеспечить надежное хранение средств).
  • У многих пользователей прямо с кошельков пропадают средства.

Exodus

Мультивалютный кошелек, который причисляют к категории тонких или гибридных клиентов, хранящих ключи на стороне клиента.

Кошелек отличается высоким уровнем безопасности и достаточно удобен в использовании, поддерживает сразу несколько криптовалют и интегрирован с биржей, благодаря чему его можно использовать и как обменник криптовалюты.

Одно из главных преимуществ Exodus в том, что кошелек дает возможность пользователю сделать резервную копию и тем самым уберечь свои монеты от потери.

Лучшие криптокошельки

Какой же кошелек лучше? Этим вопросом задаются все пользователи криптовалюты, ведь идеального варианта, который подходил бы абсолютно всем пока не придумали.

Тем не менее можно выделить бесспорных лидеров индустрии, которые представляют наибольший интерес для своих пользователей.

Как правило, это кошельки, которые давно зарекомендовали себя на рынке, наработали положительную репутацию и солидное число пользователей, а вместе с тем, не были замечены в крупных скандалах и хищениях средств.

BlockChain

Не путайте кошелек Blockchain с базой данных, на которой стоит весь криптовалютный мир — хоть названия они имеют одинаковые, но суть и призвание у этих «блокчейнов» разные.

Кошелек Блокчейн появился одним из первых, имеет свой обозреватель блоков, а потому многие почему-то считают его официальным клиентом, хоть он таким и не является.

Кошелек поддерживает исключительно биткоины, сид-фраза хранится на сервере, есть двухфакторная аутентификация, но свои уязвимости у Блокчейна все же присутствуют. Не добавило кошельку привлекательности и резкое повышение комиссий, из-за чего, в свое время, от бумажника отвернулось много пользователей.

Coinbase

Кошелек для хранения биткоинов, который во всем старается следовать законодательным нормам и приравнивает себя к банку.

Именно по этой причине стоит быть крайне осторожным тем, кто инвестирует средства в битках в хайпы — не раз аккаунты таких пользователей подпадали под подозрения и блокировались.

В кошельке можно менять, купить и продать биткоин, а также оперировать с фиатом, но дополнительные функции будут стоить вам анонимности — необходимо будет пройти тотальную верификацию, подобную той, которой сегодня требует от пользователей биржа Poloniex.

Electrum

Электрум возник в первых рядах и является некоммерческим проектом — у него открытый исходный код и дорабатывают кошелек по ходу дела разработчики со всего мира.

Это классический гибрид для хранения биткоинов, который не скачивает на ПК пользователя весь блокчейн — он лишь связывается с сервером для подтверждения операций и обновления информации о последних блоках. Преимущества кошелька очевидны:

  • Ключи доступа хранятся на стороне пользователя.
  • Есть возможность создания резервной копии.
  • Десктопный клиент не занимает много места на жестком диске и не синхронизируется неделями, как биткоин кор.
  • Работает через прокси-сервер и в сети Tor, а значит способен обеспечить полную анонимность пользователя.
  • Есть возможность создания сложного пароля.
  • Есть мобильная версия.

Совсем недавно в Electrum была найдена уязвимость, но ее удалось устранить, поэтому в целом можно считать кошелек достаточно надежным, а популярность среди пользователей является лучшей оценкой его качества.

BitGo

BitGo — гибридный кошелек с высоким уровнем безопасности. Главное преимущество кошелька в том, что ключи хранятся на стороне клиента, а значит, вашими средствами никто не может завладеть без вашего ведома. Также кошелек имеет мультиподпись, динамическую комиссию и работает только с биткоинами.

Аппаратные криптокошельки

Одним из самых надежных типов хранения монет считается содержание их в аппаратном кошельке.

Такой криптокошелек часто напоминает съемный носитель и позволяет полностью исключить вероятность потери монет через сеть — ни хакеры, ни вирусы не властны над вашими сбережениями, единственный минус — кошелек с деньгами могут украсть у вас в офлайне.

Если же хранить кошелек надежно и беречь его от повреждений, то он будет долго служить вам верой и правдой. В настоящее время возникает все больше производителей аппаратных бумажников, но хедлайнерами рынка являются только три из них. Все версии аппаратных кошельков вы сможете купить у официального реселлера в России.

Ledger

Самый популярный аппаратный кошелек из ныне существующих. Французская компания производит сразу несколько моделей такого офлайн-хранилища, но все они славятся своей надежностью, функциональностью и стильным дизайном. Ledger поддерживает сразу несколько популярных криптовалют и регулярно добавляет в свой арсенал новые, а потому армия его поклонников уверенно растет.

Главный недостаток Леджера, как и его аппаратных собратьев, в том, что за надежное хранение придется платить — кошелек не бесплатный и оплатить вам потребуется и его стоимость, и доставку. Обязательно учитывайте этот факт, ведь если кошелек вам нужен в целях заработать биткоин на кране, то затраты на Ledger вряд ли когда-то отобьются и покупка не будет целесообразной.

Trezor

Первый аппаратный кошелек для криптовалюты в истории, который до сих пор не сдает своих позиций — многие пользователи предпочитают именно Trezor, так как на рынке он зарекомендовал себя безупречно.

Производители кошелька — чехи, которые известны и по другим успешным проектам, а в свободное от разработки время майнят биткоины.

Трезор славится как один из наиболее защищенных кошельков, который предоставляет возможность совершать офлайн-подпись, а благодаря имеющемуся дисплею пользователь может произвести проверку адреса отправки. Trezor поддерживает популярные криптомонеты и постепенно их список расширяется.

KeepKey

Еще одно холодное хранилище, которое не выбывает из тройки лидеров.

В целом по своим техническим параметрам бумажник мало отличается от Леджера и Трезора, но KeepKey по-своему удобен и имеет индивидуальный внешний вид.

Как и собратья кошелек поддерживает лучшие криптовалюты и имеет целый арсенал методов защиты, что делает его уверенным соперником на рынке аппаратных устройств для хранения цифровых денег.

Как создать криптокошелек?

Действия, которые необходимо осуществить, чтобы стать владельцем кошелька, напрямую зависят от того, какой тип клиента вы избрали для пользования. Нужно отметить, что далеко не все криптокошельки можно «создать» в традиционном понимании этого слова:

  • Онлайн кошельки — потребуется простая регистрация на сайте ресурса, который предоставляет функцию хранения и использования цифровых денег. Работает такой кошелек по принципу традиционных ЭПС, регистрация также мало чем отличается на регистрации в обычной онлайн-платежке.
  • Десктопный кошелек — необходимо осуществить установку клиента на свой ПК. Если требуется, то необходимо также выполнить и синхронизацию. При этом для каждой криптовалюты существует свой кошелек — криптовалюта IOTA не может храниться в биткоин коре и т.д.
  • Аппаратный кошелек — нужно заказывать на официальном сайте производителя, совершить оплату и ждать доставки. Обратите внимание, что из-за повышенного спроса на такие кошельки отправку многие компании осуществляют только через какое-то время после совершения заказа. Такие детали можно уточнить на официальном сайте кошелька.

В криптокошельках на сегодняшний день нет дефицита, поэтому если вы желаете найти свой клиент под личные вкусы и предпочтения, то однозначно сумеете отыскать нужный вариант. Но не ожидайте, что какой-то бумажник окажется идеальным — его нет и, как показывает практика, безопасность клиента обратно пропорциональна удобству его использования.

Источник: https://www.iqmonitor.ru/investicii/bitcoin-invest/kryptokoshelek.html

Ссылка на основную публикацию