Команда разработчиков популярного биткоин-кошелька Electrum опубликовала доказательства того, что приложение-имитатор Electrum Pro в действительности является мошенническим и крадет сид-фразы пользователей.
Так, в документе на GitHub содержится пошаговая инструкция по декомпиляции Electrum Pro, появившегося в марте. Помимо того что новое приложение явно использовало чужой бренд без разрешения, его создатели запустили еще и веб-сайт electrum.com, очень похожий на страницу оригинала — electrum.org.
И накануне команда Electrum представила веские доказательства недобросовестности разработчиков Electrum Pro. Так, в определенной части кода кошелька (строчки 223–248 в electrumpro_keystore.py) была обнаружена функция копирования пользовательских сид-фраз и отправки их на домен electrum.com.
Отметим, подобные криптографические ключи позволяют приложению получить доступ к содержимому биткоин-адресов, привязанных к конкретным кошелькам. При отправке сид-фраз на electrum.com владельцы сайта могут использовать их для вывода криптовалюты с соответствующих аккаунтов.
По словам разработчиков Electrum, при создании или восстановлении кошелька Electrum Pro копия сид-фраз всегда автоматически отправляется на electrum.com.
«Ранее мы предостерегали пользователей от работы с Electrum Pro, однако на тот момент у нас не было формальных доказательств», — добавил представитель Electrum.
Разработчики отметили, что проанализировали только бинарные файлы Electrumpro-4.0.2.dmg (macOS) и ElectrumPro-4.0.2-Standalone.zip (Windows), однако «с определенной долей уверенности можно предположить, что и остальные файлы для Windows являются вредоносными».
Пользователям, хранившим средства с помощью Electrum Pro, рекомендуется как можно скорее перевести свои монеты на новые кошельки. В то же время сообщений о краже биткоинов с Electrum Pro пока не поступало.
Напомним, 20 апреля разработчики Electrum выпустили версию 3.1.3 своего биткоин-кошелька. Кроме того, одной из особенностей предыдущего релиза стало то, что пользователи приложения на устройствах Android теперь должны вводить PIN-код уже при запуске.