全球前三大加密貨幣 ATM 製造商 General Bytes 旗下自動 ATM,被爆出存在伺服器端口存在漏洞,駭客能遠端取得管理員權限修改收款錢包地址,讓客戶買賣加密貨幣的時候取得贓款。
文章出處:鏈新聞
作者:Elponcho
編輯:MetaverseMedia
在全世界擁有多個加密貨幣 ATM 的製造商與軟體商 GENERAL BYTES 於 8/18 公告,表示其加密貨幣應用伺服器 (CAS) 漏洞遭到利用,截至 8/22 為止已回報損失 16000 美元價值加密資產。官方呼籲營運 BATM 廠商盡快按照官方指導步驟更新軟體與重置用戶密碼。
官方表示,攻擊者發現一個 CAS 管理介面中的安全漏洞 ; 透過該漏洞,攻擊者創建了一個預設的管理者用戶,更改了某些雙向 BTM 裝置的設定,並將攻擊者的地址設為「無效支付地址」。當用戶發送無效支付的時候,這些雙向 BTM 就會將資金轉到攻擊者的錢包。
這個漏洞從 2020 年 12 月 8 日起的版本就存在,在當時至今多次的代碼審計都沒有警示該漏洞 ; 這些攻擊是在官方聲援烏克蘭之後的第三天開始發生。
GENERAL BYTES 強調,攻擊者並沒有竊取任何私鑰、用戶密碼與數據庫等。
目前官方還在調查中,呼籲受害用戶填寫表格了解狀況 https://forms.gle/JSDpQweHY4uAQdN5A
GENERAL BYTES 官網顯示,台灣目前有多處放置該公司 BATM:
