Atak na Bitrefill powiązany z Lazarusem: co ujawnia o ryzyku w kryptowalutach

Platforma płatności kryptowalutowych i kart podarunkowych Bitrefill wznowiła działalność po ataku cybernetycznym z March 1, 2026, który ujawnił części jej infrastruktury i portfeli kryptowalutowych.

Firma przypisała naruszenie grupie Lazarus powiązanej z Koreą Północną po wewnętrznym dochodzeniu.

Atakujący uzyskali dostęp do kluczy produkcyjnych, wypompowali środki z gorących portfeli i uzyskali dostęp do ograniczonego zestawu zapisów zakupów klientów.

Bitrefill poinformował, że pokryje wszystkie straty z kapitału operacyjnego.

Chociaż usługi wróciły do normy, incydent uwypuklił ryzyka, z jakimi mierzą się platformy kryptowalutowe, oraz zaawansowanie grup hakerskich powiązanych z państwami.

How the breach began

Atak rozpoczął się od skompromitowanego laptopa pracownika, który ujawnił przestarzałe poświadczenia.

To pozwoliło napastnikom poruszać się po systemach Bitrefill i uzyskać dostęp do infrastruktury, w tym baz danych i portfeli kryptowalutowych.

Naruszenie stało się widoczne, gdy firma wykryła nietypowe zachowania zakupowe wśród dostawców.

Atakujący wykorzystywali zapasy kart podarunkowych, jednocześnie transferując środki z gorących portfeli.

Bitrefill odpowiedział, wyłączając systemy w celu ograniczenia incydentu.

Firma później potwierdziła, że napastnicy używali złośliwego oprogramowania, śledzenia on-chain oraz ponownego wykorzystywania wzorców IP i adresów e-mail.

Metody te odpowiadały taktykom przypisywanym grupie Lazarus, znanej również jako Bluenoroff.

Links to past crypto attacks

Grupa Lazarus była powiązana z kilkoma naruszeniami w sektorze kryptowalut.

Poprzednie incydenty dotyczyły platform takich jak Ronin Network, most Horizon projektu Harmony, WazirX i Atomic Wallet.

Bitrefill poinformował, że techniki zastosowane w tym ataku wykazywały podobieństwa do wcześniejszych przypadków.

Obejmowały one uzyskanie dostępu przez skompromitowane poświadczenia, celowanie w gorące portfele oraz przesuwanie środków przez sieci blockchain.

Szczegółowy opis incydentu został opublikowany przez firmę na X, przedstawiając, jak napastnicy łączyli metody cyberwłamań z transferami środków przez blockchain.

Customer data exposure

Naruszenie obejmowało dostęp do około 18,500 zapisów zakupów.

Zapisy te zawierały adresy e-mail, adresy do płatności kryptowalutowych oraz metadane, takie jak adresy IP.

Około 1,000 zapisów zawierało również zaszyfrowane nazwy użytkowników powiązane z zakupami.

Bitrefill poinformował, że traktuje ten podzbiór jako potencjalnie skompromitowany i skontaktował się z dotkniętymi użytkownikami.

Firma stwierdziła, że nie ma dowodów na to, by dane klientów były głównym celem.

Logi wewnętrzne wykazały, że napastnicy wykonywali ograniczoną liczbę zapytań skoncentrowanych na saldach kryptowalut i zapasach kart podarunkowych, zamiast wyciągać całą bazę danych.

Bitrefill dodał również, że przechowuje minimalne dane osobowe i nie wymaga obowiązkowego KYC, co mogło zmniejszyć skalę ekspozycji.

Użytkownicy zostali poinformowani, aby zachowali ostrożność wobec nieoczekiwanych komunikatów.

Recovery and security measures

Bitrefill poinformował, że większość systemów, w tym płatności, stany magazynowe i rozliczenia, jest już przywrócona, a wolumen transakcji wraca do normy.

Firma potwierdziła, że pozostaje rentowna i jest w stanie wchłonąć skutki finansowe naruszenia.

W odpowiedzi wprowadzono ulepszenia zabezpieczeń.

Obejmują one zewnętrzne testy penetracyjne, zaostrzone kontrole dostępu, ulepszone logowanie i monitorowanie oraz zaktualizowane procedury reagowania na incydenty.

Firma kontynuuje współpracę z badaczami bezpieczeństwa, zespołami reagowania na incydenty, analitykami on-chain oraz organami ścigania w ramach dochodzenia.

Bitrefill opisał to jako pierwszy poważny incydent bezpieczeństwa w ponad dekadzie działalności i poinformował, że podjął kroki w celu wzmocnienia obrony po ataku.