Криптовалютный кошелек Electrum Pro уличили в краже сид-фраз пользователей. Код программного обеспечения проанализировали разработчики другого криптовалютного кошелька, Electrum.
Создатели Electrum провели декомпиляцию Electrum Pro и опубликовали инструкцию об этом на GitHub. Повторить эксперимент могут все желающие.
В коде Electrum Pro (строки 223−248 в electrumpro_keystore.py) обнаружили функцию копирования пользовательских сид-фраз и отправки их на домен electrum.com. Сид-фразы — криптографические ключи, которые позволяют приложению получить доступ к содержимому биткоин-адресов, привязанных к конкретным кошелькам.
Находка означает, что владельцы сайта electrum.com могут использовать сид-фразы, отправленные пользователями, для вывода криптовалюты с соответствующих аккаунтов. Иначе говоря, разработчики Electrum Pro оставили себе возможность попросту воровать валюту с кошельков клиентов.
Кроме того, Electrum Pro использовал бренд Electrum без разрешения. А сайт проекта electrum.com очень похож на страницу оригинала — electrum.org.
Пользователям Electrum Pro рекомендуется перевести монеты в более надёжные приложения. В противном случае есть риск лишиться криптовалюты.