Bitrefill saldırısı Lazarus ile ilişkilendirildi: kripto riskleri ne gösteriyor

Kripto para ödemeleri ve hediye kartı platformu Bitrefill, 1 Mart 2026'da gerçekleşen bir siber saldırının altyapısının ve kripto cüzdanlarının bazı bölümlerini açığa çıkarmasının ardından faaliyetlerine yeniden başladı.

Şirket, iç soruşturmanın ardından ihlali Kuzey Kore bağlantılı Lazarus Grubu'na atfetti.

Saldırganlar üretim anahtarlarına erişti, sıcak cüzdanlardaki fonları boşalttı ve sınırlı sayıda müşteri satın alma kaydına ulaştı.

Bitrefill, tüm zararları işletme sermayesiyle karşılayacağını açıkladı.

Hizmetler normale döndüyse de olay, kripto platformlarının karşılaştığı riskleri ve devlet bağlantılı siber saldırı gruplarının yetkinliğini gözler önüne seriyor.

İhlal nasıl başladı

Saldırı, ele geçirilmiş bir çalışanın dizüstü bilgisayarından açığa çıkan eski kimlik bilgilerinden kaynaklandı.

Bu durum saldırganların Bitrefill sistemleri arasında hareket etmesine ve veritabanları ile kripto cüzdanlar da dahil altyapıya erişim sağlamasına imkan verdi.

İhlal, şirketin tedarikçiler arasındaki olağandışı satın alma davranışını tespit etmesiyle görünür hale geldi.

Saldırganlar sıcak cüzdanlardan fon aktarırken hediye kartı stoklarını da istismar ediyordu.

Bitrefill, olayı sınırlamak için sistemleri çevrimdışına aldı.

Şirket daha sonra saldırganların zararlı yazılım, on-chain izleme ve tekrar kullanılan IP ile e-posta kalıplarını kullandığını doğruladı.

Bu yöntemler, Bluenoroff olarak da bilinen Lazarus Grubu ile ilişkilendirilen taktiklerle örtüştü.

Geçmiş kripto saldırılarıyla bağlantılar

Lazarus Grubu, kripto para sektöründe meydana gelen birkaç ihlalle ilişkilendirildi.

Önceki olaylar Ronin Network, Harmony’nin Horizon Bridge’i, WazirX ve Atomic Wallet gibi platformları hedef aldı.

Bitrefill, bu saldırıda kullanılan tekniklerin önceki vakalarla benzerlik gösterdiğini söyledi.

Bunlar arasında ele geçirilmiş kimlik bilgileri aracılığıyla erişim sağlanması, sıcak cüzdanların hedeflenmesi ve fonların blokzinciri ağları üzerinden taşınması yer alıyor.

Şirket, saldırganların siber ihlal yöntemlerini blokzinciri tabanlı fon hareketleriyle nasıl birleştirdiğini özetleyen ayrıntılı bir hesabı X'te paylaştı.

Müşteri verilerinin açığa çıkması

İhlalde yaklaşık 18,500 satın alma kaydına erişildi.

Bu kayıtlar e-posta adresleri, kripto ödeme adresleri ve IP adresleri gibi meta verileri içeriyordu.

Yaklaşık 1,000 kayıt ayrıca satın almalara bağlı şifrelenmiş kullanıcı adları içeriyordu.

Bitrefill, bu alt kümeyi potansiyel olarak tehlikeye girmiş olarak ele aldığını ve etkilenen kullanıcılarla iletişime geçtiğini belirtti.

Şirket, müşteri verilerinin birincil hedef olduğuna dair bir kanıt bulunmadığını açıkladı.

İç kayıtlar, saldırganların tüm veritabanını çıkarmak yerine kripto bakiye ve hediye kartı stoklarına odaklanan sınırlı sayıda sorgu çalıştırdığını gösterdi.

Bitrefill ayrıca asgari kişisel bilgi sakladığını ve zorunlu KYC istemediğini, bunun da maruz kalma ölçeğini azaltmış olabileceğini kaydetti.

Kullanıcılara beklenmeyen iletişimlere karşı temkinli olmaları tavsiye edildi.

Kurtarma ve güvenlik önlemleri

Bitrefill, ödemeler, stok ve hesaplar dahil olmak üzere çoğu sistemin şimdi tekrar çevrimiçi olduğunu ve işlem hacimlerinin normale döndüğünü söyledi.

Şirket, kârlı olmaya devam ettiğini ve ihlalin mali etkisini karşılayabilecek durumda olduğunu doğruladı.

Yanıt olarak güvenlik yükseltmeleri uygulandı.

Bu önlemler arasında dış penetrasyon testleri, daha sıkı erişim kontrolleri, geliştirilmiş kayıt tutma ve izleme ile güncellenmiş olay müdahale prosedürleri bulunuyor.

Şirket soruşturmanın bir parçası olarak güvenlik araştırmacıları, olay müdahale ekipleri, blokzinciri analistleri ve kolluk kuvvetleriyle çalışmaya devam ediyor.

Bitrefill, on yılı aşkın faaliyetleri boyunca bu olayın ilk büyük güvenlik vakası olduğunu ve saldırının ardından savunmasını güçlendirmek için adımlar attığını belirtti.