Recentemente, un gruppo di hacker anonimi ha sfruttato un bug zero-day nei server dei bancomat Bitcoin di General Bytes per rubare BTC a diversi clienti. Quando i clienti acquistano o depositano bitcoin attraverso questi bancomat, la vulnerabilità zero-day consente agli hacker di dirottare i fondi nei propri portafogli. General Bytes è uno dei maggiori produttori di bancomat per criptovalute. Attualmente ha quasi novemila bancomat per criptovalute installati in tutto il mondo, che consentono di acquistare, vendere o depositare oltre 40 criptovalute diverse. Questi bancomat sono controllati da un Crypto Application Server remoto. I server gestiscono direttamente tutte le operazioni dei dispositivi, compresa l’elaborazione in tempo reale degli acquisti e delle vendite di criptovalute.
In che modo gli hacker prendono di mira i bancomat Bitcoin?
Il 18 agosto il comitato consultivo per la sicurezza di General Bytes ha pubblicato una nota che delinea gli aspetti di questo exploit zero-day. L’aggressore è stato apparentemente in grado di creare un account utente amministratore da remoto tramite il pannello di amministrazione CAS. Per farlo, ha eseguito una chiamata all’URL della pagina di installazione predefinita del server, alla quale i dipendenti accedono quando creano il loro primo account di amministrazione. Secondo il rapporto dell’advisory, questa vulnerabilità è presente nel software CAS fin dalla versione precedente. Il team di General Bytes ritiene che gli hacker abbiano effettuato una scansione del web alla ricerca di server esposti in esecuzione sulle porte TCP 443 o 7777. Tutti i server ospitati presso General Bytes e Digital Oceans funzionano su queste porte. Una volta creato il falso account di amministrazione, gli hacker sono stati in grado di modificare le impostazioni di “acquisto” e “vendita” sui server ATM e di indirizzare i pagamenti a un portafoglio esterno.
General Bytes ha avvertito i suoi clienti di non utilizzare i loro bancomat Bitcoin finché non avranno applicato due patch aggiornate per i server. Attualmente sono diciotto i server di General Bytes esposti al web, che potrebbero essere vulnerabili a un exploit zero-day. La maggior parte di questi server esposti si trova in Canada. L’azienda ha inoltre fornito una lista di controllo dei passaggi che gli utenti devono seguire quando utilizzano i suoi servizi. Negli ultimi mesi gli hackeraggi di criptovalute hanno registrato un’impennata, con oltre 3,2 miliardi di dollari persi a causa di questi incidenti nel 2021. Quest’anno la cifra è già peggiorata, quindi gli utenti devono usare cautela quando utilizzano servizi di criptovaluta o DeFi. È inoltre fondamentale che ogni trader o utente di criptovalute sia sempre aggiornato sulle ultime informazioni relative ai servizi che utilizza.
