Биткойн-банкоматы становятся популярным приспособлением в крупных городах по всему миру. С ростом биткойнов все чаще устанавливаются банкоматы, где люди могут покупать биткойны на ходу. В настоящее время в мире установлено не менее 26000 банкоматов с биткойнами. Но подавляющее большинство этих банкоматов (более 80%) находится в США. Это связано с высоким уровнем внедрения технологий в стране.
Дополнительная литература | Бриллиантовые руки: 80% оборотного предложения биткойнов теперь принадлежит долгосрочным держателям
Поскольку биткойн-банкоматы стали более приемлемой формой покупки, Kraken Security Labs взяла на себя исследование безопасности этих машин. Его расследование привело к обнаружению тревожных уязвимостей в некоторых крипто-банкоматах, которые в настоящее время развернуты по всему миру. В частности, банкоматы с биткойнами General Bytes обладают уязвимостью в системе безопасности, которой может воспользоваться любой человек, имеющий доступ к коду администратора.
Разные банкоматы, один код
Kraken Security Labs обнаружила, что банкомат General Bytes BATMtwo (GBBATM2), который является одним из наиболее широко используемых крипто-банкоматов, имеет несколько векторов атаки в QR-коде администратора. Этот код выдается владельцам банкоматов при покупке для настройки своих машин. Затем на аппарате сканируется административный QR-код по умолчанию, и требуется установить пароль на каждом банкомате через серверную систему.
Изучив различные бывшие в употреблении банкоматы, которые были приобретены командами Kraken Security Labs, они обнаружили, что ни на одном из этих банкоматов не был установлен пароль, и поэтому по-прежнему использовался административный код по умолчанию, отправленный с банкоматами. В противном случае это не было бы проблемой. Но лаборатория обнаружила, что один и тот же QR-код администратора был установлен для всех биткойн-банкоматов от General Bytes. Это позволит любому, у кого есть доступ к административному QR-ключу, взломать любой банкомат, для которого код по умолчанию не изменен на уникальный пароль.
Цена BTC восстанавливается выше 47 тыс. долларов | Источник: BTCUSD на TradingView.com
Security Labs сообщила, что уведомила команду General Bytes об этой уязвимости еще в апреле, когда она впервые обнаружила ее и выпустила несколько исправлений для серверной системы (CAS). Но эти полные исправления еще не были реализованы, так как они потребовали бы «доработки оборудования».
Защита биткойнов
В свете полных исправлений, которые еще не выпущены для устранения этих уязвимостей, Kraken Security Labs предупредила общественность, чтобы она была очень осторожна при проведении транзакций на биткойн-банкоматах. Пользователям рекомендуется убедиться, что используемые ими машины являются надежными. Кроме того, пользователи должны внимательно относиться к своему окружению и искать банкоматы с камерами наблюдения, в которых нет необнаруженного доступа к банкоматам.
Дополнительная литература | Аналитик Deutsche Bank Марион Лабур считает, что биткойн останется цифровым золотом
Кроме того, инвесторам рекомендуется по возможности избегать использования этих банкоматов из-за этих уязвимостей. Как показывают результаты Kraken Security Labs, эти машины могут использоваться как на аппаратном, так и на программном уровне.
Лучшее изображение из Quartz, график из TradingView.com
