Electrum钱包前段时间出现一次钓鱼攻击导致的盗币事故,用户被诱使下载假的Electrum,导致币被盗。黑客运行Electrum Server,并给连接它的Elctrum客户端发送虚假消息,提示用户下载最新版客户端,而使用上面的链接下载的Electrum是假的。
虽然新版解决了这个问题,但是因为旧版还有人在用,所以盗币事故仍然无法停止。
这次事故的主要原因是 Electrum 可以展示来自于Electrum Server的消息,用户将其误以为是官方消息。在#bitcoin IRC看到gmaxwell等人对此开展了讨论,他说这就是为什么Bitcoin Core坚决不展示来自于网络的消息的原因。
不管怎样,对于用户而言要意识到软件验证真伪的重要性。Electrum发布软件时,会由ThomasV签名,用户可以下载电子签名进行验证。
验证签名可以使用gpg命令行工具,或GPG Suite图形界面工具。
下面展示验证方法。
下载
为了验证软件真伪,除了需要下载软件安装包,还需要下载2个文件:
下载地址是 https://electrum.org/#download
gpg命令行工具
步骤:
执行命令:
gpg --import ThomasV.asc
gpg --verify electrum-3.3.4.dmg.asc electrum-3.3.4.dmg
若返回:
gpg: Signature made Thu Feb 14 06:08:29 2019 CST
gpg: using RSA key 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Good signature from "ThomasV " [unknown]
则表明这个文件是真的,确实是作者发布的
GPG Suite图形界面工具
操作步骤:
导入公钥
点击import,选择ThomasV.asc公钥文件,导入后可以看到ThomasV出现在列表里。
验证签名
右键点击"OpenGPG: Verify Signature of File"
(注意电子签名需要和软件安装包放在同一级目录下)
提示这个电子签名确实是ThomasV创建的
