Bitrefill: επίθεση συνδεδεμένη με Lazarus — τι αποκαλύπτει για τους κινδύνους crypto

Η πλατφόρμα πληρωμών με κρυπτονομίσματα και δωροκαρτών Bitrefill επανέλαβε τη λειτουργία της μετά από κυβερνοεπίθεση την 1η Μαρτίου 2026 που εξέθεσε μέρη της υποδομής της και πορτοφόλια κρυπτονομισμάτων.

Η εταιρεία απέδωσε τη διείσδυση στην Lazarus Group, συνδεδεμένη με τη Βόρεια Κορέα, μετά από εσωτερική έρευνα.

Οι δράστες απέκτησαν πρόσβαση σε κλειδιά παραγωγής, αφαίρεσαν κεφάλαια από hot wallets και απέκτησαν πρόσβαση σε περιορισμένο σύνολο εγγραφών αγορών πελατών.

Η Bitrefill δήλωσε ότι θα καλύψει όλες τις απώλειες με χρήση λειτουργικού κεφαλαίου.

Παρά την επιστροφή των υπηρεσιών στην κανονικότητα, το περιστατικό αναδεικνύει τους κινδύνους που αντιμετωπίζουν οι πλατφόρμες κρυπτονομισμάτων και την πολυπλοκότητα ομάδων hacking με δεσμούς με κράτη.

Πώς ξεκίνησε η παραβίαση

Η επίθεση ξεκίνησε από φορητό υπολογιστή υπαλλήλου που είχε παραβιαστεί και εξέθεσε παλαιά διαπιστευτήρια.

Αυτό επέτρεψε στους δράστες να κινηθούν μέσα στα συστήματα της Bitrefill και να αποκτήσουν πρόσβαση στην υποδομή, συμπεριλαμβανομένων βάσεων δεδομένων και πορτοφολιών κρυπτονομισμάτων.

Η παραβίαση έγινε αντιληπτή όταν η εταιρεία εντόπισε ασυνήθιστη συμπεριφορά αγορών μεταξύ προμηθευτών.

Οι δράστες εκμεταλλεύονταν το απόθεμα δωροκαρτών ενώ μετέφεραν κεφάλαια από τα hot wallets.

Η Bitrefill αντέδρασε βγάζοντας τα συστήματα εκτός σύνδεσης για να περιορίσει το περιστατικό.

Η εταιρεία επιβεβαίωσε αργότερα ότι οι δράστες χρησιμοποίησαν κακόβουλο λογισμικό, ανίχνευση on-chain και επαναχρησιμοποίηση μοτίβων IP και διευθύνσεων email.

Οι μέθοδοι αυτές ταυτίζονταν με τακτικές που συνδέονται με την Lazarus Group, γνωστή και ως Bluenoroff.

Συνδέσεις με παλαιότερες επιθέσεις στον χώρο των κρυπτονομισμάτων

Η Lazarus Group έχει συνδεθεί με πολλές παραβιάσεις στον τομέα των κρυπτονομισμάτων.

Προηγούμενα περιστατικά στόχευσαν πλατφόρμες όπως οι Ronin Network, Horizon Bridge της Harmony, WazirX και Atomic Wallet.

Η Bitrefill ανέφερε ότι οι τεχνικές που χρησιμοποιήθηκαν σε αυτή την επίθεση έδειξαν ομοιότητες με προηγούμενες περιπτώσεις.

Αυτές περιλαμβάνουν την πρόσβαση μέσω παραβιασμένων διαπιστευτηρίων, τον στόχο των hot wallets και τη μεταφορά κεφαλαίων μέσω δικτύων blockchain.

Αναλυτική περιγραφή του περιστατικού κοινοποιήθηκε από την εταιρεία στο X, περιγράφοντας πώς οι δράστες συνδύασαν μεθόδους κυβερνοεισβολής με κινήσεις κεφαλαίων μέσω blockchain.

Έκθεση δεδομένων πελατών

Η παραβίαση περιελάμβανε πρόσβαση σε περίπου 18,500 εγγραφές αγορών.

Οι εγγραφές αυτές περιείχαν διευθύνσεις email, διευθύνσεις πληρωμών κρυπτονομισμάτων και μεταδεδομένα όπως διευθύνσεις IP.

Περίπου 1,000 εγγραφές επίσης περιείχαν κρυπτογραφημένα ονόματα χρήστη συνδεδεμένα με αγορές.

Η Bitrefill δήλωσε ότι αντιμετωπίζει αυτό το υποσύνολο ως ενδεχομένως συμβιβασμένο και έχει επικοινωνήσει με τους επηρεαζόμενους χρήστες.

Η εταιρεία ανέφερε ότι δεν υπάρχουν στοιχεία πως τα δεδομένα πελατών ήταν ο πρωταρχικός στόχος.

Εσωτερικά αρχεία καταγραφής έδειξαν ότι οι δράστες έτρεξαν περιορισμένο αριθμό ερωτημάτων επικεντρωμένων σε υπόλοιπα κρυπτονομισμάτων και στο απόθεμα δωροκαρτών, αντί για την εξαγωγή ολόκληρης της βάσης δεδομένων.

Η Bitrefill σημείωσε επίσης ότι αποθηκεύει ελάχιστες προσωπικές πληροφορίες και δεν απαιτεί υποχρεωτικό KYC, κάτι που ενδέχεται να μείωσε την κλίμακα της έκθεσης.

Στους χρήστες συστήθηκε να παραμείνουν προσεκτικοί σε μη αναμενόμενες επικοινωνίες.

Αποκατάσταση και μέτρα ασφαλείας

Η Bitrefill δήλωσε ότι τα περισσότερα συστήματα, συμπεριλαμβανομένων των πληρωμών, του αποθέματος και των λογαριασμών, έχουν πλέον επανέλθει σε λειτουργία, με τους όγκους συναλλαγών να επιστρέφουν στο κανονικό.

Η εταιρεία επιβεβαίωσε ότι παραμένει κερδοφόρα και ικανή να απορροφήσει τον οικονομικό αντίκτυπο της παραβίασης.

Ως αντίδραση, εισήγαγε αναβαθμίσεις ασφάλειας.

Αυτές περιλαμβάνουν εξωτερικά penetration tests, αυστηρότερους ελέγχους πρόσβασης, βελτιωμένη καταγραφή και παρακολούθηση και ενημερωμένες διαδικασίες απόκρισης σε περιστατικά.

Η εταιρεία συνεχίζει να συνεργάζεται με ερευνητές ασφάλειας, ομάδες αντιμετώπισης περιστατικών, on-chain αναλυτές και διωκτικές αρχές στο πλαίσιο της έρευνας.

Η Bitrefill χαρακτήρισε το γεγονός ως το πρώτο σημαντικό περιστατικό ασφάλειας σε περισσότερη από μια δεκαετία λειτουργίας και δήλωσε ότι έχει λάβει μέτρα για να ενισχύσει τις άμυνές της μετά την επίθεση.