Electrum钱包前段时间出现一次盗币事故，用户被诱使下载假的Electrum，导致币被盗。黑客利用的是Electrum可以展示来自公开服务器中的消息的“漏洞”，提示用户下载最新版客户端，提供虚假下载链接。虽然新版解决了这个问题，但是因为旧版还有人在用，所以盗币事故仍然无法停止。

我认为这个事故的主要原因是 Electrum 提示来自于网络的消息，而用户误以为是官方消息。在#bitcoin IRC看到gmaxwell等人对此开展了讨论，他说这就是为什么Bitcoin Core坚决不展示来自于网络的消息的原因。

不管怎样，对于用户而言要意识到对下载的软件进行验证的重要性。Electrum是提供了电子签名可以用GPG验证证伪的，下面展示验证方法，以 Mac 系统为例。

安装GPG Suite

https://gpgtools.org/

下载并安装客户端

安装

导入Electrum的公钥

在分发软件时，开发团队指派一名成员用自己的“私钥”生成电子签名。Electrum的可执行文件由ThomasV的公钥签名，可以在 https://electrum.org/#download 看到。

方法一、GPG Suite 图形界面

点击GPG Suite的import，选择导入ThomasV.asc。

导入后可以看到ThomasV出现在列表里。

方法二、gpg 命令行

执行命令：

gpg --import ThomasV.asc

验证文件

方法一、使用GPG suites

下载软件安装包时，同时下载软件的电子签名，并将2个文件放在同一个目录下。
右键点击"OpenGPG: Verify Signature of File"。

提示这个电子签名确实是ThomasV创建的

方法二、使用gpg命令行工具

gpg --verify electrum-3.3.4.dmg.asc electrum-3.3.4.dmg

返回

gpg: Signature made Thu Feb 14 06:08:29 2019 CST
gpg:                using RSA key 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Good signature from "ThomasV <thomasv1@gmx.de>" [unknown]

表明这个文件确实是作者发布的

创建自己的密钥对

GPG Suite不仅可以用于验证电子签名，也可以用它生成自己的密钥对，并将“公钥”上传到公共服务器。

将新生成的公钥上传到key server