Un hacker logró modificar la configuración de un cajero Bitcoin para robar los fondos que ingresaban los inversores. Los cajeros pertenecen a la compañía General Bytes la cual se ha disculpado y ha lanzado una actualización para sus terminales.
El pasado día 19 la compañía General Bytes lanzó un comunicado advirtiendo a sus clientes acerca de un fallo de seguridad en sus cajeros automáticos para Bitcoin. General Bytes lleva produciendo y colocando cajeros automáticos para Bitcoin (ATM) desde el año 2020 y esta es la primera ocasión que han reportado un fallo de esta magnitud.
La compañía descubrió que un hacker había logrado modificar la configuración criptográfica bidireccional de los ATM con la configuración de su propia billetera. Esto quiere decir que los fondos que se ingresaban a través de los cajeros no eran recibidos por los inversores, sino que iban a parar a la billetera del sujeto.
Para modificar la configuración, el hacker necesitó crear un usuario administrador de forma remota a través de la interfaz administrativa de CAS. Esto fue posible gracias a una llamada URL en la página que se usa para la instalación predeterminada en el servidor y la creación del primer usuario administrador.
Por lo visto, este fallo habría ido arrastrándose desde que la compañía comenzó a desarrollar ATM para Bitcoin en el 2020. General Bytes también confirmó que desde ese momento se han realizado múltiples auditorías, pero que ninguna habrían descubierto la vulnerabilidad.
Se desconoce de qué magnitud ha podido alcanzar el ataque, ya que la compañía no ha dado datos acerca de las cuentas afectadas o los fondos sustraídos. Los hechos sucederían el día 18 de agosto, tan solo 3 días después de que la compañía implementase una nueva funcionalidad para apoyar a la causa ucraniana en su guerra contra la invasión rusa.
Inmediatamente, tras conocerse la situación, General Bytes suspendió el uso de sus cajeros para evitar que se desviasen más fondos. La compañía emitió una serie de pasos a seguir para implementar la solución que restringe el acceso a cualquier usuario fuera de la administración real. Esta solución debe implementarse en cada uno de los cajeros y se ha recomendado evitar su uso en caso de que este no haya sido actualizado.
Se espera que durante los próximos días, la compañía lance un comunicado informando acerca de la cantidad de activos perdidos. Se espera que la compañía también se haga cargo de todas las perdidas, ya que este es un fallo que los propios cajeros traían desde su fabricación.
Seguir leyendo acerca de como 1.900 millones de dólares han sido robados en criptomonedas durante el 2022, es posible que te parezca interesante.
