黑客利用一个 0day 从比特币 ATM 机器上盗走了价值 150 万美元的加密货币。黑客针对的目标是 General Bytes 出售的比特币 ATM(BATM),它允许人们兑换比特币。BATM 连接了一个加密货币应用服务器(CAS)。出于未知的原因,BATM 提供了一个选项允许客户通过主服务器接口从终端向 CAS 上传视频。攻击者利用了这个接口上传和执行一个恶意 Java 应用,从各个热钱包中转走了全部加密货币,总共为 56 BTC,价值约 150 万美元。General Bytes 已经释出了补丁修复了漏洞,但加密货币已经无法找回。
https://arstechnica.com/?p=1925695