Crypto monnaie

Un bogue du jour zéro exploité pour voler la crypto-monnaie du fabricant de guichets automatiques Bitcoin


Un guichet automatique Bitcoin est vu le 13 juin 2022 dans le quartier de Brooklyn Heights à New York. (Photo de Michael M. Santiago/Getty Images)

Les pirates ont pu voler la crypto-monnaie des clients via un bug zero-day dans les guichets automatiques Bitcoin qui leur a permis de créer des profils d’utilisateurs administrateurs.

Bleeping Computer a rapporté que le fabricant de guichets automatiques Bitcoin, General Bytes, avertit les opérateurs de ne pas utiliser de serveurs tant qu’ils n’ont pas corrigé leurs systèmes.

« L’attaquant a pu créer un utilisateur administrateur à distance via CAS [Crypto Application Server] interface d’administration via un appel d’URL sur la page utilisée pour l’installation par défaut sur le serveur et la création du premier utilisateur d’administration », lisez la mise à jour de sécurité General Bytes du 18 août sur son wiki.

L’attaquant a pu faire transférer des paiements vers ses propres portefeuilles cryptographiques sur un certain nombre de machines bidirectionnelles lorsque les clients ont envoyé des paiements invalides aux BATM, a déclaré General Bytes dans la mise à jour. La mise à jour de sécurité a également noté que tous les opérateurs concernés ont été informés.

La mise à jour note en outre que la vulnérabilité est présente depuis 2020, mais l’attaque a commencé trois jours après que General Bytes a publié un support pour l’Ukraine sur ses terminaux.

« Nous avons conclu plusieurs audits de sécurité depuis 2020, et aucun d’entre eux n’a identifié cette vulnérabilité. L’attaque a commencé le 3e jour après que nous ayons annoncé publiquement la fonctionnalité « Help Ukraine » sur nos BATM », ont-ils écrit.

Laisser un commentaire