Tim IT Tesla temukan celah keamanan di BTCPay Server pada versi 1.0.7.0. Temuan adanya kerentanan tersebut juga diamini dan diakui secara terbuka oleh pihak BTCPay dan mempublikasikan di situsnya.
Dalam publikasinya, pihak BTCPay Server menyatakan telah menambal celah keamanan itu dengan merilis patch di versi terbaru, 1.0.7.1. Serta meminta seluruh klien yang masih menggunakan versi lama untuk memperbarui piranti lunaknya. BTCPay juga membenarkan temuan celah keamanan oleh tim Tesla.
Setidaknya ada 6 celah keamanan VCE-ID berdasarkan temuan tim Tesla kepada BTCPay Server. CEV (Common Vulnerabilities and Exposures) ini adalah daftar yang menampilkan informasi software dan firmware apa saja yang rentan dan berpotensi menjadi sasaran serangan siber.
Satu celah keamanan itu disebut mampu memberikan dampak kritis, satu celah sedang, dan beberapa lainnya berdampak rendah pada klien yang masih menggunakan versi lama.
Setelah pihak BTCPay mendapat temuan dari Tesla, keduanya lantas saling bekerja sama untuk menambal kerentanan keamanan itu. Beberapa jenis CEV yang menjadi celah keamanan itu adalah CVE-2021-29251 yang berpotensi mengambil alih akun, CVE-2021-29246, CVE-2021-29250, CVE-2021-29245, CVE-2021-29247, dan juga CVE-2021-29248.
Dampak yang paling kritis, berasal dari CVE-2021-29251 karena berpotensi untuk merebut akun. Dalam hal ini, penyerang bisa mengirim pengubahan password kepada korban. Sementara jika target menekan tautan yang terkirim melalui email, maka akun bisa diambil alih oleh penyerang. Sementara pihak Tesla sendiri, sebelumnya masih menayangkan opsi pembayaran bitcoin di situsnya. Opsi pembayaran Bitcoin itu kemudian dihapus. Belum diketahui secara jelas alasan dibelakangnya. Sejauh ini, kemungkinan karena implikasi Lemon Laws. Namun jika melihat insiden celah keamanan yang terjadi di BTCPay Server, bisa jadi ini yang menjadi kemungkinan salah satu penyebabnya.
