Hack da Bitrefill ligado ao Lazarus: o que revela sobre os riscos das criptomoedas

A plataforma de pagamentos em criptomoedas e de cartões-presente Bitrefill retomou as operações após um ciberataque em 1º de março de 2026 que expôs partes de sua infraestrutura e carteiras de criptomoedas.

A empresa atribuiu a violação ao Lazarus Group, ligado à Coreia do Norte, após uma investigação interna.

Os atacantes obtiveram acesso a chaves de produção, esvaziaram fundos de carteiras quentes e acessaram um conjunto limitado de registros de compras de clientes.

A Bitrefill afirmou que cobrirá todas as perdas com capital operacional.

Embora os serviços tenham voltado ao normal, o incidente destaca os riscos enfrentados pelas plataformas de criptomoedas e a sofisticação de grupos de hackers ligados a Estados.

How the breach began

O ataque teve origem no laptop comprometido de um funcionário, que expôs credenciais legadas.

Isso permitiu que os atacantes se movimentassem pelos sistemas da Bitrefill e acessassem a infraestrutura, incluindo bancos de dados e carteiras de criptomoedas.

A violação tornou-se visível quando a empresa detectou comportamento de compra incomum entre fornecedores.

Os atacantes exploravam o estoque de cartões-presente enquanto transferiam fundos para fora das carteiras quentes.

A Bitrefill respondeu tirando sistemas do ar para conter o incidente.

A empresa confirmou posteriormente que os atacantes usaram malware, rastreamento on-chain e reutilizaram padrões de IP e e-mail.

Esses métodos coincidiram com táticas associadas ao Lazarus Group, também conhecido como Bluenoroff.

Vínculos com ataques anteriores no setor de criptomoedas

O Lazarus Group foi ligado a várias violações no setor de criptomoedas.

Incidentes anteriores miraram plataformas como Ronin Network, o Horizon Bridge da Harmony, WazirX e Atomic Wallet.

A Bitrefill disse que as técnicas usadas neste ataque apresentaram semelhanças com casos anteriores.

Isso inclui obter acesso por meio de credenciais comprometidas, visar carteiras quentes e mover fundos através de redes blockchain.

Um relato detalhado do incidente foi compartilhado pela empresa no X, delineando como os atacantes combinaram métodos de intrusão cibernética com movimentações de fundos baseadas em blockchain.

Exposição de dados de clientes

A violação envolveu o acesso a cerca de 18.500 registros de compra.

Esses registros incluíam endereços de e-mail, endereços de pagamentos em criptomoedas e metadados como endereços IP.

Aproximadamente 1.000 registros também continham nomes de usuário criptografados vinculados a compras.

A Bitrefill afirmou que trata esse subconjunto como potencialmente comprometido e contatou os usuários afetados.

A empresa declarou que não há evidências de que os dados de clientes tenham sido o alvo principal.

Os registros internos mostraram que os atacantes executaram um número limitado de consultas focadas em saldos de criptomoedas e no estoque de cartões-presente, em vez de extrair o banco de dados completo.

A Bitrefill também observou que armazena informações pessoais mínimas e não exige KYC obrigatório, o que pode ter reduzido a escala da exposição.

Os usuários foram aconselhados a manter cautela em relação a comunicações inesperadas.

Recuperação e medidas de segurança

A Bitrefill afirmou que a maioria dos sistemas, incluindo pagamentos, estoque e contas, já está de volta ao ar, com volumes de transações retornando ao normal.

A empresa confirmou que permanece lucrativa e capaz de absorver o impacto financeiro da violação.

Em resposta, implementou melhorias de segurança.

Essas medidas incluem testes de penetração externos, controles de acesso mais rígidos, aprimoramento de registros e monitoramento, e procedimentos atualizados de resposta a incidentes.

A empresa continua a trabalhar com pesquisadores de segurança, equipes de resposta a incidentes, analistas on-chain e autoridades policiais como parte da investigação.

A Bitrefill descreveu este como seu primeiro grande incidente de segurança em mais de uma década de operações e disse ter adotado medidas para fortalecer suas defesas após o ataque.