●概述：
奧地利Peter Šurda仿Bitcoin原理開發Bitmessage即時通軟體，適用Linux、Mac、Windows平台，無需中央伺服器即可於本機密鑰交換，支援P2P通信協定，以37字元hash值作用戶地址，落實隱匿身分來源效果，其正式版PyBitmessage 0.6.2近日遭駭客鎖定，利用訊息內容引發RCE，使自動化script對受害主機進行搜尋，嘗試找出比特幣錢包密鑰後，反向Shell回傳，據報已有多起資訊犯罪案件，皆與加密貨幣市場熱潮有關，經測試僅有PyBitmessage 0.6.2版涉此弱點，Bitmessage已公開解決方案，舊版0.6.1或升級0.6.3.2版，用戶擇一即可，若仍有顧慮，可換密並產生新key。
●編註：
(1)比特信(Bitmessage)即時通訊系統使用分散式P2P通信協定運作，以OpenSSL傳遞，能向單一對象或群組訂閱者收送加密郵件，密鑰交換在本機後台自動完成，用戶不必親自手動加解密，且免於依賴中央server及第三方信任憑證，減少竊聽者下手管道，完全自主存管地址、通訊錄、訂閱、黑名單、聊天紀錄等資料，原理類似Bitcoin，程式能亂數產生Bitmessage地址，地址格式為BM-開頭的37字元hash值(ex：BM-2orkCbppXWSqPpAxnz6jnfTZ2djb5pJKDb)，達到匿名與反制追蹤來源效果，目前Bitmessage僅傳送純文字，無法夾帶檔案或圖片，PyBitmessage乃正式版client端即時通工具，適用Linux、Mac、Windows。
(2)在Bitmessage開發者意識到這項0-day攻擊之前，已經發生損失，駭客採用傳送訊息內嵌編碼的手法，觸發remote code execution，讓自動化腳本程式在受害主機執行，找尋Bitcoin錢包密鑰，再以Reverse Shell技術從受害方將shell命令回送，隨著加密貨幣增值，大眾期望變賣求現的心理，是類網路犯罪與日俱增，而PyBitmessage僅0.6.2版受累，前版與新版均安，Bitmessage原創者Peter Šurda建議升級或降級任擇其一。