General Bytes 製造的加密貨幣 ATM 被爆出伺服器存有零時差漏洞長達 2 年,導致駭客可遠端修改錢包地址,竊取交易者與ATM業主的加密貨幣。
(前情提要:北韓如何養出駭客大軍?匿名研究者揭「39號室」新生財之道)
(背景補充:金管會緊盯全台比特幣 ATM!未落實「洗錢防制法」限期改善、最高可罰千萬)
全球前三大加密貨幣 ATM 製造商 General Bytes 旗下自動 ATM,被爆出存在伺服器端口存在漏洞,駭客能遠端取得管理員權限修改收款錢包地址,讓客戶買賣加密貨幣的時候取得贓款。
資安部落格《Bleeping Computer》19 日接獲爆料,一名 General Bytes ATM 的租賃客戶遭到駭客零時差攻擊,自己的 ATM 裡頭的比特幣不翼而飛。
根據 18 日時 General Bytes 發布的版本更新說明,此零時差漏洞從自家加密應用伺服器(Crypto Applicate Server,CAS)2020 年 12 月 8 日的版本就已存在,並說明:
攻擊者能透過 CAS 管理介面遠端進入 URL 創建管理員帳號網頁,這是首次安裝ATM 創建管理員帳號用的。
更新說明指出,駭客藉由掃描 TCP port 7777 或 433 進入 Digital Ocean 雲端託管伺服器漏洞,就能創建名為「gb」的預設管理權限帳號,可自由竄改 ATM 上預設的「買」、「賣」、「無效的交易地址」等錢包位置,等待交易者操作 ATM 傳入加密貨幣,即會轉帳到駭客錢包。
目前 General Bytes 已修補伺服器漏洞,尚未公布攻擊受害規模與金額。
General Bytes 曾被 Kraken 揪出漏洞
中心化交易所 Kraken 的安全部門曾在 2021 年 4 月 20 日指出 General Bytes 旗下 BATMtwo 機型存在多處軟硬體漏洞,當時伺服器管理介面也被指出有危險漏洞。但 General Bytes 當時指稱感謝 Kraken ,軟體漏洞皆在一個月內修復。
台灣有 18 台 General Bytes ATM 營運中
根據加密貨幣 ATM 索引服務 Coin ATM Radar 顯示,全球目前有 38,679 台加密貨幣 ATM 營運中,其中由 General Bytes 生產的自動櫃員機有 8,827 台,當下台北市、新北市、新竹市、台中市、高雄市共有 18 台租賃業主營運中。
📍相關報導📍
金管會緊盯全台比特幣 ATM!未落實「洗錢防制法」限期改善、最高可罰千萬