疑似与北韩有关的黑客涉嫌Bitrefill数据泄露事件导致钱包被清空

Bitrefill 披露其在3月1日遭受网络攻击,导致加密货币资金被盗,并表示其调查发现多个指标将该事件与朝鲜相关的 Lazarus/Bluenoroff 组织所使用的战术联系起来。

该公司表示,攻击者的方法、恶意软件、链上追踪模式以及 IP 和电邮地址的重复使用等相似之处,与该组织先前的行动一致。

Bitrefill 网络攻击

据该公司称,此次入侵源于一名员工的笔记本电脑遭到入侵,攻击者提取了一个旧凭证。该凭证允许访问包含生产机密的快照,攻击者随后利用这些机密扩大了对 Bitrefill 系统的访问权限。这使他们能够访问部分数据库和某些加密货币钱包。

在其最新推文中,Bitrefill 表示,它首次发现该事件是在检测到涉及一些供应商的异常购买模式后,这表明其礼品卡库存和供应流程正被滥用。与此同时,它观察到一些热钱包正在被耗尽,资金被发送到攻击者控制的地址。一旦入侵被确认,该公司立即关闭了所有系统以控制局势。

事件发生后,Bitrefill 确认其一直与外部网络安全专家、事件响应团队、区块链分析师和执法部门合作。

该公司表示,没有迹象表明客户数据是攻击的主要目标。根据其日志,攻击者运行了有限数量的数据库查询,与探测活动一致,以识别可以提取的内容。这包括加密货币和礼品卡库存。Bitrefill 补充说,它存储的个人数据极少,不需要强制性 KYC,任何验证信息均由外部供应商持有。

然而,它确认约 18,500 条购买记录被访问,包括电邮地址、加密货币支付地址以及 IP 地址等元数据。在大约 1,000 个客户为特定产品提供姓名的案例中,信息是加密的,但由于加密密钥可能被暴露,该公司将其视为可能已被访问。这些用户已收到通知。

Bitrefill 表示,目前不认为客户需要采取具体行动,但建议对任何与 Bitrefill 或加密货币相关的意外通信保持警惕。

该公司补充说,它已加强了安全措施,包括进行进一步的外部网络安全审查和渗透测试、收紧内部访问控制、改进监控和日志系统以及完善事件响应程序。它表示,财务损失将由其运营资本承担,包括支付和库存在内的大部分服务已恢复。

Lazarus 的破坏

尽管近年来许多加密平台已加强其安全框架,但威胁行为者仍继续绕过保护措施。Lazarus 组织仍然是该行业最持久和最危险的对手,在2025年2月从 Bybit 盗取14亿美元后,成为有记录以来最大的加密货币黑客攻击的责任方。

区块链调查员 ZachXBT 此前表示,涉及 Bybit、DMM Bitcoin 和 WazirX 等平台的入侵事件中,被盗资金轻易被洗钱。这位链上调查员补充说,洗钱组织在执法方面"似乎已经赢得了战斗"。

《与朝鲜有关的黑客涉嫌参与 Bitrefill 入侵导致钱包被耗尽》一文首次发表于 CryptoPotato。