駭客開採General Bytes比特幣ATM漏洞，直接轉走用戶存入的比特幣

專門設計與製造比特幣ATM的捷克業者General Bytes在本周坦承，駭客開採了該公司加密貨幣應用程式伺服器（Crypto Application Server，CAS）的安全漏洞，由於CAS是用來控制其ATM，駭客在變更了CAS的設定之後，盜走了用戶存入ATM的加密貨幣。

General Bytes宣稱自己是全球最大的比特幣、區塊鏈與加密貨幣ATM製造商，迄今已將逾1.3萬臺加密貨幣ATM售至全球143個國家，支援超過180種法幣。General Bytes所生產的加密貨幣ATM屬於雙向ATM，意味著使用者可存入加密貨幣以領取現金，或是存入現金以領取加密貨幣。

根據General Bytes的解釋，其CAS管理介面上含有一個安全漏洞，駭客先掃描了網路上執行CAS服務的裝置，再利用該漏洞建立一個具管理權限的新用戶，繼之存取該介面並將預設管理用戶改為「gb」，接著竄改該雙向ATM的加密貨幣設定，改為駭客所控制的錢包，之後這些雙向ATM就會把所收到的加密貨幣全都送到駭客的錢包中。

此一安全漏洞誕生在2020年12月8日釋出的CAS軟體版本，逃過了General Bytes多次的安全稽核，沒有任何人發現該漏洞的存在，卻於General Bytes宣布要在ATM上提供「協助烏克蘭」（Help Ukraine）功能，讓民眾直接捐款給烏克蘭的3天後遭駭。

General Bytes並未公布首度遭駭的日期，也未揭露遭駭客盜轉的加密貨幣規模，但根據General Bytes的版本更新，該公司是在7月25日釋出的版本中，啟用了直接於ATM上捐贈比特幣予烏克蘭的功能。

除了使用者自ATM上存入的加密貨幣會被盜走之外，General Bytes強調，駭客並未存取主機作業系統、主機檔案系統、資料庫，或是任何密碼與金鑰，同時呼籲該公司的客戶將伺服器版本更新至已修補漏洞的20220531.38或20220725.22。