A General Bytes, fabricante de caixas eletrônicos (ATMs) de criptoamoedas, informou que sua plataforma de nuvem sofreu um ataque hacker. De acordo com a empresa, hackers roubaram criptomoedas de seus clientes usando uma vulnerabilidade de dia zero em sua plataforma de gerenciamento BATM (Bitcoin ATM). Os hackers instalaram um malware nos dispositivos e obtiveram acesso aos criptoativos dos usuários, furtando cerca de US$ 1,6 milhão.
A plataforma permite que as pessoas comprem ou vendam mais de 40 criptomoedas. Os clientes podem implantar seus caixas eletrônicos usando servidores de gerenciamento autônomos ou o serviço de nuvem da General Bytes.
A vulnerabilidade, rastreada como BATM-4780, permitiu que os invasores baixassem de forma remota um aplicativo Java por meio da interface de serviço principal dos caixas eletrônicos e o executassem com privilégios de usuário ‘batm’.
“O invasor escaneou o espaço de endereço IP de hospedagem em nuvem da Digital Ocean e identificou serviços CAS [crypto application server, ou servidor de aplicativos cripto] em execução nas portas 7741, incluindo o serviço General Bytes Cloud e outros operadores de caixas eletrônicos da empresa, executando seus servidores na Digital Ocean, nossa provedora de hospedagem em nuvem recomendada”, explicou a General Bytes em comunicado sobre o incidente de segurança.
A empresa foi ao Twitter para pedir aos clientes que “tomem medidas imediatas” e instalem as atualizações mais recentes para proteger seus servidores e fundos de invasores.
Depois de carregar o aplicativo Java, os operadores de ameaças conseguiram executar as seguintes ações nos dispositivos comprometidos:
- Capacidade de acessar o banco de dados;
- Capacidade de ler e descriptografar chaves de API usadas para acessar fundos em hot wallets e exchanges (plataformas de compra e venda de criptomoedas);
- Transferir fundos de hot wallets (carteiras de criptomoedas).
- Baixar os nomes de usuário, seus hashes de senha e desativar a autenticação de dois fatores (2FA);
- Capacidade de acessar os logs de eventos do terminal e verificar qualquer instância em que o cliente digitalizou as chaves privadas no caixa eletrônico. As versões mais antigas do software ATM registravam essas informações.
Veja isso
Hack de criptomoedas atinge recorde de US$ 3,8 bi em 2022
FTX diz que US$ 415 milhões em criptomoedas foram hackeados
A General Bytes alertou os clientes e seu próprio serviço de nuvem foram violados durante os ataques. “O serviço cloud da General Bytes foi violado, assim como os servidores autônomos de outras operadoras”, destacou o comunicado.
Apesar de ter divulgado quanto dinheiro foi roubado, a empresa forneceu uma lista de endereços de criptomoedas usados pelos hackers durante o ataque. Esses endereços mostram que o hack começou nos servidores Bitcoin ATM no dia 17 deste mês, com o endereço Bitcoin do invasor recebendo 56,28570959 BTC, valor equivalente a aproximadamente US$ 1,6 milhão, e 21,79436191 Ethereum, aproximadamente US$ 39 mil.
Embora a carteira Bitcoin ainda contenha criptomoeda roubada, os operadores de ameaças parecem ter usado o Uniswap para converter o Ethereum roubado em dólar.