Уязвимость кошелька Electrum принесла злоумышленникам за два года более $22 млн

Сумма ущерба от уязвимости в старых версиях биткоин-кошелька Electrum превысила $22 млн, свидетельствуют данные расследования ZDNet. Злоумышленники эксплуатируют уязвимость как минимум с декабря 2018 года. За два прошедших года она использовалась в многочисленных мошеннических кампаниях.

Аналитики ZDNet обнаружили несколько биткоин-кошельков, используемых для хранения украденных у пользователей активов. Последние поступления на эти кошельки датированы сентябрем 2020 года. Также в августе один из пользователей сообщал, что потерял 1 400 BTC или около $16 млн, скачав уязвимую версию кошелька.

Существование эксплойта возможно из-за внутреннего устройства Electrum. Для обработки транзакций он подключается к блокчейну биткоина через собственную сеть серверов, именуемых ElectrumX. Установить такой сервер может любой желающий.

С 2018 года киберпреступники пользуются особенностью ПО Electrum для запуска вредоносных серверов в ожидании случайного подключения к ним ничего не подозревающих пользователей. После этого они выводят на экран держателя криптовалюты сообщение о том, что ему необходимо перейти по указанной ссылке для обновления кошелька. Обычно она ведет на домен, схожий с официальным, или в один из репозиториев на GitHub.

Скачав кошелек по такой ссылке, пользователь устанавливает на свой компьютер измененную версию Electrum. При первом запуске кошелек просит ввести одноразовый пароль. Его достаточно для того, чтобы украсть все биткоины с кошелька жертвы.

С момента обнаружения проблемы разработчики Electrum приняли несколько мер для защиты пользователей. Изначально они внедрили механизм, позволяющий включать сервера ElectrumX в черный список. Также они запретили серверам показывать произвольные всплывающие сообщения. Тем не менее, у них нет способа защитить пользователей, скачивающих более старые версии ПО.