В «легком» кошельке для биткоина Electrum вечером 6 января была обнаружена критическая уязвимость, которая позволяла получить доступ к кошельку через Javascript. Таким образом, вредоносные сайты могли украсть биткоины пользователей при посещении этих сайтов, если кошелек Electrum в это время был запущен.

Хакер или вредоносный сайт может подключиться к кошельку через включенный по умолчанию интерфейс JSON RPC и передать ему произвольные консольные команды, в том числе на экспорт ключей.

Кошельки без пароля подвергаются наибольшей опасности. Если кошелек зашифрован с помощью достаточно сложного пароля, то он находится в относительной безопасности, если его владелец не совершает транзакций или других действий, которые на короткое время оставляют кошелек незащищенным.

Уязвимость относится также к копиям Electrum, например, Electron Cash.

Уязвимость была частично исправлена в версии 3.0.4, которая выложена на сайте Electrum 7 января, а в ночь на 8 января опубликована версия 3.05, которая закрывает уязвимость более надежно, отключая интерфейс JSON RPC при запущенном графическом интерфейсе кошелька, а также защищая его паролем по умолчанию.

Всем пользователям этого кошелька необходимо как можно быстрее установить исправление, прежде чем продолжать пользоваться кошельком.