比特币ATM漏洞可能让黑客“完全控制”
IOActive首席技术官Gunter Ollman表示,通过这些漏洞,攻击者可以通过ATM窃取用户的比特币。比特币ATM提供商Lamassu Industries修复了其比特币ATM机中的一个漏洞,此前一组道德黑客完全控制了这些设备,突出了其一些缺陷。2023 年,IOActive 的安全研究人员试图劫持 Lamassu 发行的几台 ATM。当他们努力访问这些机器时,研究小组发现了几个漏洞,他们设法利用这些漏洞来访问自动取款机。
IOActive的首席技术官Gunter Ollman告诉Cointelegraph,通过这个漏洞,攻击者可以“查看和操纵与被劫持的ATM机的交互”。安全专家解释说,黑客可以利用这些漏洞通过ATM从用户的钱包中窃取BTC。Ollman解释道:一个老练的攻击者,如果准备充分,可以修改或替换ATM的整个用户体验,并在社会上对用户进行社会工程,使其执行额外的操作。
这位高管表示,攻击者还可以诱骗用户输入他们的银行账户详细信息,用免费或打折的比特币等优惠来引诱他们。然而,Ollman也向社区保证,这种影响将仅限于用户的账户余额。
“最终,当设备可以被破坏到操作系统级别时,对用户的攻击范围仅限于用户对设备或他们正在使用的设备制造商的信任程度,”他补充道。
与此同时,IOActive的硬件安全总监Gabriel Gonzalez补充说,该漏洞允许对ATM进行物理访问的攻击者拥有“完全控制权”。冈萨雷斯解释说,除了窃取比特币外,该漏洞还可能导致ATM中的所有资金被耗尽。它还可能“愚弄读钞器”,使其显示更高的存款金额,而不是实际金额。
这位高管还补充说,自动取款机可能以多种方式被利用,特别是如果它们无论位于何处都无人看管。
虽然 ATM 中的漏洞可能对其用户产生严重影响,但在 2024 年向公众披露该漏洞之前,ATM 提供商已经通过安全补丁部署了修复程序。该公司通知了ATM所有者,并敦促他们更新他们的比特币ATM机。