Пользователи Reddit и BitcoinTalk заметили эту уязвимость ещё вчера, 7 января, команда Electrum отреагировала на следующий день. Принцип действия уязвимости следующий: если пользователь заходит на вредоносный сайт, и у него в это время запущен кошелёк Electrum, с его счёта могли быть украдены биткоины. Самыми уязвимыми являлись кошельки без пароля, однако даже сильный пароль не защищал средства от похищения, если в момент совершения транзакций были включены вредоносные сайты.
Доступ к средствам, находящимся на кошельке, осуществлялся через интерфейс JSON RPC, который установлен по умолчанию. Через него злоумышленникам передавались произвольные консольные команды, включая связанные с кошельком ключи.
В новой версии кошелька разработчики отключили интерфейс JSON RPC и ввели обязательную защиту при помощи пароля. Всем пользователям настоятельно рекомендуется обновиться до версии 3.0.5. и ни в коем случае не использовать более ранние версии.
