全球最大加密货币ATM制造商通用字节(General Bytes)于2023年3月17日至18日发生严重安全事件,攻击者通过远程入侵主服务接口,从热钱包中盗取资金,导致美国境内绝大多数使用该公司机器的加密ATM运营商被迫临时关停。据公司官方声明及知情人士透露,此次攻击共涉及全国约15至20家运营商,总计损失56.28枚比特币,价值约150万美元,同时还有ETH、USDT、BUSD、ADA、DAI、DOGE、SHIB、TRX等数十种其他加密货币被转出。
攻击细节:从视频上传接口到资金盗取
通用字节在3月18日发布的安全公告中详细披露了攻击手法。攻击者利用主服务接口(通常用于终端上传视频)远程上传了自制的Java应用程序。该漏洞使得攻击者能够获得BATM用户权限,并进一步访问数据库,读取并解密用于访问热钱包和交易所资金的API密钥。更严重的是,攻击者还可以下载用户名、获取密码哈希值、关闭双重身份验证(2FA),并直接发送热钱包中的资金。安全公告指出,尽管公司自2021年以来进行了多次安全审计,但均未发现此漏洞。
行业影响:美国加密ATM大面积停摆
比特币新闻(Bitcoin.com News)采访的一位美国加密ATM运营商证实,当晚所有使用通用字节机器的美国运营商均被要求全面关停。该运营商表示,服务器需要从零开始重建,这将是一个漫长的过程。通用字节正在引导运营商转向自托管服务器,并宣布即日起停止其云服务。这意味着依赖其云服务的运营商必须紧急迁移数据,否则将面临进一步风险。据统计,通用字节在全球已生产超过9,505台加密ATM,其中数千台部署在美国,此次事件对加密ATM生态造成显著冲击。
链上数据与历史漏洞
链上监测显示,黑客在攻击后将56.28枚比特币转移至一个地址,截至3月18日凌晨3点20分后该地址未再移动资金。部分其他代币被分散转移至不同地址,少量资金被发送至去中心化交易所Uniswap。值得注意的是,这并非通用字节首次遭遇安全漏洞——2022年8月18日,该公司曾因零日漏洞导致攻击者通过CAS管理界面的URL调用远程创建管理员用户。此次新漏洞再次暴露了其云服务架构的深层安全隐患。通用字节在公告中不仅披露了攻击使用的加密地址,还公布了三个来自攻击者的IP地址。
专家建议与未来展望
安全专家建议所有加密ATM运营商立即检查自身系统,尤其是使用通用字节云服务的机构,应尽快迁移至自托管节点并加强热钱包防护。部分运营商表示,尽管其系统被入侵,但因其运行完整节点并采取额外锁定措施,成功避免了资金损失。此次事件再次提醒行业:加密ATM的物理安全与网络安全同等重要,尤其是对于管理大量用户资金的热钱包,必须采用多层防护、定期渗透测试以及最小权限原则。通用字节已承诺将持续更新安全公告,并协助受影响运营商重建基础设施。

