Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Bitcoin- und Litecoin-Klau bei Electrum, Electron Cash etc.

- - - - -

  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1
Jacqueline

Jacqueline

    Boardassistentin

  • Bots
  • PIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    38
  • 161 Beiträge
  • 11 Bedankt
Bitcoin- und Litecoin-Klau bei Electrum, Electron Cash und Electrum-LTC möglich

Eine von außen ausnutzbare Sicherheitslücke gefährdet Nutzer der Wallet-Programme Electrum (Bitcoin), Electron Cash (Bitcoin Cash) und Electrum-LTC (Litecoin). Angreifer könnten den Anwender deanonymisieren und im Extremfall das Guthaben stehlen.

Angreifer könnten über eine präparierte Webseite Nutzer der Wallet-Clients Electrum für Bitcoin (BTC), Electron Cash für Bitcoin Cash (BCH/BCC) und Electrum-LTC für Litecoin (LTC) deanonymisieren und schlimmstenfalls sämtliche Wallets inklusive Guthaben stehlen.

Betroffen sind die Electrum-Versionen 2.6 bis 3.0.4, alle Versionen von Electron Cash bis einschließlich 3.1.1 und alle Versionen von Electrum-LTC bis einschließlich 3.0.5. Anwender sollten ihre Clients schleunigst aktualisieren, da sich die Sicherheitslücke aus der Ferne, mit geringem Aufwand und vom Nutzer unbemerkt ausnutzen lässt. Alle drei Projekte haben am gestrigen Montag Abend oder am heutigen Dienstag fehlerbereinigte Versionen ihrer Programme veröffentlicht.

Die Sicherheitslücke besteht darin, dass aufgrund eines Fehlers in Electrum seit Version 2.6 auch dann der integrierte JSON-RPC-Server gestartet wird, wenn ein Anwender Electrum auf dem Desktop mit GUI nutzt ? und zwar ungeschützt ohne Notwendigkeit zur Authentifizierung. Eigentlich wird die JSON-RPC-Schnittstelle nur im Server-Betrieb benötigt, um etwa in Web-Shops Bitcoin-Zahlungen zu ermöglichen. Als Electron Cash und Electrum-LTC aus den Electrum-Quellen geforkt wurden, erbten die neuen Programme dieselbe Sicherheitslücke.

Seit Electrum Version 2.6 wird die Fernsteuerungs-Schnittstelle des Bitcoin-Wallet-Programms auch dann gestartet, wenn man das Python-Programm auf dem Desktop startet und nur als Client nutzt. Die Klone Electron Cash für Bitcoin Cash und Electrum-LTC für Litecoin haben das Problem geerbt.
Seit Electrum Version 2.6 startet die Fernsteuerungs-Schnittstelle des Bitcoin-Wallet-Programms auch dann, wenn man das Python-Programm nur als Client nutzt. Die Klone Electron Cash für Bitcoin Cash und Electrum-LTC für Litecoin haben das Problem geerbt.

Gefährlich wird es dann, wenn ein beliebiger Web-Browser und eines der Wallet-Programme gleichzeitig laufen ? eine Standardvorgehensweise, wenn man mit einer der Krypto-Währungen bezahlt und dazu die Zahlungsadresse von einem Shop in den Wallet-Client kopiert. Ist der Shop manipuliert und enthält einen angepassten JavaScript-JSON-Client, den der Browser ausführt, kann der JSON-Client lokal nach dem Port des JSON-RPC-Servers von Electrum & Co. scannen und, sobald gefunden, die Kontrolle über das Wallet-Programm übernehmen. Der Benutzer bekommt von alldem nichts mit.

Zu den Möglichkeiten, die der JSON-RPC-Server dem Angreifer bietet, zählen unter anderem die Abfrage des Kontostands des aktuell geöffneten Wallets (auch wenn dieses verschlüsselt ist), den Abruf des Master Public Key (MPK, xpub), mit dem sich sämtliche benutzten und unbenutzten Adressen des Wallets generieren und so vergangene wie künftige Zahlungen identifizieren lassen, und das Öffnen anderer Wallets, die auf dem Rechner gespeichert und nicht verschlüsselt sind.

Sollte ein Wallet nicht mit einem Passwort geschützt sein, könnten Angreifer außerdem beliebige Zahlungen vornehmen oder die Wallet-Seed stehlen, womit sich eine Kopie des Wallets mit vollem Zugriff auf das Guthaben erstellen lässt.

Die Electrum-Entwickler empfehlen Anwendern, neue Wallets zu erstellen und das Guthaben der alten dorthin zu transferieren. So ist das Guthaben selbst für den Fall sicher, dass Angreifer ein passwortloses Wallet kopiert oder das Passwort eines geschützten Wallets geknackt haben.

Um künftig anonym wieder bezahlen zu können, hilft dieser Rat allerdings nur zum Teil: Der Geldtransfer auf das neue Wallet wird in der Blockchain für jedermann sichtbar gespeichert, sodass anschließende Zahlungen vom neuen Wallet weiterverfolgt werden könnten. Um die Historie zu brechen, ist es nötig, das Guthaben in eine andere Währung zu tauschen oder das Geld über einen sogenannten Mixer umzuleiten.

Angesichts der aktuell horrenden Transfer-Fees bei Bitcoin, bei mehreren kleinen Beträgen auf verschiedenen Adressen kommen schnell 50 bis 100 Euro an Gebühren zusammen, ist aktuell keine der Lösungen für Anwender attraktiv. Die Auswirkungen der Sicherheitslücke spürt also jeder unmittelbar an seinem Geldbeutel.

Server-Betreiber müssen nicht akut in Panik ausbrechen: Sie nutzen den JSONRPC-Zugang bewusst und haben (hoffentlich) ohnehin Vorkehrungen getroffen, dass dieser nicht missbraucht werden kann. Für künftige Versionen von Electrum, Electron Cash und Electrum-LTC werden die Shops allerdings angepasst werden müssen, um sich dann mit Benutzernamen und Passwort zu authentifizieren.

Please Login HERE or Register HERE to see this link!



#2
Stadt-Zofe

Stadt-Zofe

    Hacktivist

  • Premium Member
  • Likes
    19
  • 71 Beiträge
  • 3 Bedankt
  • iPhone
  • Linux

Problem bei Electrum, zumindest bei mir (Linux) ist, dass Updates nie automatisch angezeigt werden.Man muss also quasi täglich auf der Electrum-Seite nach der aktuellsten Version schauen und ggf. handupdaten.

 

Kennt einer eine Gegengift?

Ist das bei Electrum unter Windows auch so?



#3
Mini Rick

Mini Rick

    Script Kiddie

  • Members
  • PIPPIPPIPPIP
  • Likes
    12
  • 26 Beiträge
  • 4 Bedankt
  • Android [root]
  • Linux

Was für eine Distro hast du denn? Electrum sollte eigentlich in den Repos sein?

Oder meinst du die Forks für andere Coins? Da kannst du ja schauen ob es ein inoffizielles Repo für Debian basierte gibt und bei Arch sind ein paar im AUR.


  • Stadt-Zofe gefällt das

#4
Stadt-Zofe

Stadt-Zofe

    Hacktivist

  • Premium Member
  • Likes
    19
  • 71 Beiträge
  • 3 Bedankt
  • iPhone
  • Linux

Was für eine Distro hast du denn? Electrum sollte eigentlich in den Repos sein?

Oder meinst du die Forks für andere Coins? Da kannst du ja schauen ob es ein inoffizielles Repo für Debian basierte gibt und bei Arch sind ein paar im AUR.

 

Einfaches Mint, ausschließlich als Brieftasche genutzt. Und ja, über die Anwendungsverwaltung Paket gefunden und installiert. Updatet aber trotzdem nicht automatisch.



#5
Mini Rick

Mini Rick

    Script Kiddie

  • Members
  • PIPPIPPIPPIP
  • Likes
    12
  • 26 Beiträge
  • 4 Bedankt
  • Android [root]
  • Linux

[...] Updatet aber trotzdem nicht automatisch.

 

Das Update kommt mit den Systemupdates. Ich kenne Mint nicht gut aber ich denke da gibt es auch eine Updateverwaltung oder so? Falls nicht einfach in der Konsole regelmäßig manuell updaten per

sudo apt-get update && sudo apt-get upgrade 

  • Stadt-Zofe gefällt das

#6
Stadt-Zofe

Stadt-Zofe

    Hacktivist

  • Premium Member
  • Likes
    19
  • 71 Beiträge
  • 3 Bedankt
  • iPhone
  • Linux

Da gerade von 3.0.5 auf 3.0.6 ansteht habe ich das gleich mal in der Konsole ausprobiert, funzt bei mir aber auch nicht.

Naja wenn man es weiß und ab und zu mal "per Hand" updatet geht es ja auch, finde es halt nur irgendwie komisch, weil Electrum ja eigentlich im Paket enthalten ist.

 

Schönen Sonntag



#7
Mini Rick

Mini Rick

    Script Kiddie

  • Members
  • PIPPIPPIPPIP
  • Likes
    12
  • 26 Beiträge
  • 4 Bedankt
  • Android [root]
  • Linux

Es dauert eben etwas bis die neuen Pakete im Repo ankommen aber das geht normalerweise schnell.






Dieses Thema wurde von 69 Mitglied(ern) gelesen


    0x92, 3eyes, Alfiansby, Alsuna, beefer, BloodSw0rd, Bot4ng, Bulldogge67, CM1, Crumble, CrypTixX, cubik, Cyber Tjak, daten, DavidNut, desmond, dev-0, Dr. Spic, Exynos, fothermucker, funstyler, Giganet, gtawelt, h04x, hanshenkelman, Island, Jack_Frost, kiwitone, kleinkriminell, kroco, kroco, leonalexkraus, Leroy1977, lNobodyl, madamor45xx, mashok, Methyl, Mini Rick, motory, n1nja, nibble nibble, nninja, Onek, PadX18, ProHex, Psykoon303, python_snippet, Querox, R3V3R53, Revelead, s3ff, saulus, SecurityFlaw, Silent0wn3r, skels, Smn, sniffer, SpySDar, Stadt-Zofe, syncing, trix9rr, vôl, Vutra, wbx32, Xenio, xl3iitches, xxxsmackxxx, z91, Zerobyte
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.