Tavis Ormandy, el conocido investigador de seguridad que trabaja en Google Project Zero, ha descubierto una vulnerabilidad en la cartera Electrum que podría permitir a cualquier sitio web robarse todo tu monedero usando JavaScript.

El fallo, que ya ha sido solucionado, afectaba a todas las versiones de Electrum de la 2.6 a la 3.0.3. Si no has actualizado aún a la versión 3.0.5 y estás ejecutando Electrum, la recomendación es que lo detengas de inmediato y actualices, además de asegurarte de verificar la firma PGP.

The bitcoin wallet Electrum allows any website to steal your bitcoins. I was gonna report it...but there was already an open issue from last year. I pointed out this is kinda critical, and they made a new release within a few hours. Update to 3.0.4 if you use it.— Tavis Ormandy (@taviso) 7 de enero de 2018

Ormandy acudió a Twitter el pasado fin de semana para invitar a los usuarios a actualizar de inmediato, además mencionó que otro investigador ya había encontrado también el problema, pero aún tenía que contactar con Electrum para indicar la urgencia del problema.

Electrum lanzó una actualización corrigiendo el fallo en pocas horas (la versión 3.0.4), y posteriormente lanzaron otro parche más que se puede descargar ya en su web (la versión 3.0.5).

Update your #electrum wallets. Only having the program running and surfing the web can be unsafe. Any website can steal your wallet if it is not protected with a password or …