黑客开采General Bytes比特币ATM漏洞,直接转走用户存入的比特币

专门设计与制造比特币ATM的捷克企业General Bytes在本周坦承,黑客开采了该公司加密货币应用程序服务器(Crypto Application Server,CAS)的安全漏洞,由于CAS是用来控制其ATM,黑客在变更了CAS的设置之后,盗走了用户存入ATM的加密货币。

General Bytes宣称自己是全球最大的比特币、区块链与加密货币ATM制造商,迄今已将超过1.3万台加密货币ATM售至全球143个国家,支持超过180种法币。General Bytes所生产的加密货币ATM属于双向ATM,意味着用户可存入加密货币以领取现金,或是存入现金以领取加密货币。

根据General Bytes的解释,其CAS管理接口上含有一个安全漏洞,黑客先扫描了网络上执行CAS服务的设备,再利用该漏洞创建一个具管理权限的新用户,之后访问该接口并将默认管理用户改为“gb”,接着篡改该双向ATM的加密货币设置,改为黑客所控制的钱包,之后这些双向ATM就会把所收到的加密货币全都送到黑客的钱包中。

该安全漏洞诞生在2020年12月8日发布的CAS软件版本,逃过了General Bytes多次的安全审核,没有任何人发现该漏洞的存在,却于General Bytes宣布要在ATM上提供“协助乌克兰”(Help Ukraine)功能,让人们直接捐款给乌克兰的3天后遭黑。

General Bytes并未公布首度遭黑的日期,也未披露遭黑客盗转的加密货币规模,但根据General Bytes的版本更新,该公司是在7月25日发布的版本中,激活了直接于ATM上捐赠比特币给乌克兰的功能。

除了用户自ATM上存入的加密货币会被盗走之外,General Bytes强调,黑客并未访问主机操作系统、主机文件系统、数据库,或是任何密码与密钥,同时呼吁该公司的客户将服务器版本更新至已修补漏洞的20220531.38或20220725.22。