Η πλατφόρμα πληρωμών κρυπτονομισμάτων και δωροκαρτών Bitrefill κατηγόρησε την ομάδα χάκινγκ Lazarus που συνδέεται με τη Βόρεια Κορέα για μια κυβερνοεπίθεση στις 1 Μαρτίου 2026, η οποία συμβίβασε μέρη της υποδομής της και των πορτοφολιών κρυπτονομισμάτων της.

Οι επιτιθέμενοι απέκτησαν πρόσβαση σε κλειδιά παραγωγής, μετέφεραν κεφάλαια από hot wallets και εξέθεσαν 18.500 αρχεία αγορών που περιείχαν emails, διευθύνσεις πληρωμών και διευθύνσεις IP.

Περίπου 1.000 αρχεία περιλάμβαναν κρυπτογραφημένα ονόματα χρηστών. Οι επηρεαζόμενοι χρήστες ειδοποιήθηκαν. Οι λειτουργίες έχουν επαναληφθεί, με την εταιρεία να ανακοινώνει ότι θα καλύψει τις απώλειες από το λειτουργικό κεφάλαιο. Το περιστατικό υπογραμμίζει τη σημασία της επαγρύπνησης όσον αφορά την ασφάλεια των κρυπτονομισμάτων και on-chain.

Ο τρόπος λειτουργίας περιλάμβανε κακόβουλο λογισμικό, εντοπισμό on-chain και επαναχρησιμοποιημένες διευθύνσεις IP και email και ήταν παρόμοιος με προηγούμενες επιθέσεις που αποδίδονται στην Ομάδα Lazarus της Βόρειας Κορέας, γνωστή και ως Bluenoroff, δήλωσε η εταιρεία σε λεπτομερή αναφορά στο X.

Η Ομάδα Lazarus έχει στοχεύσει στο παρελθόν έργα κρυπτονομισμάτων συμπεριλαμβανομένων των Ronin Network, Harmony's Horizon Bridge, WazirX και Atomic Wallet.

Πώς εξελίχθηκε η επίθεση

Όλα ξεκίνησαν με έναν συμβιβασμένο φορητό υπολογιστή υπαλλήλου, ο οποίος εξέθεσε παλαιά διαπιστευτήρια και επέτρεψε στους επιτιθέμενους να αποκτήσουν πρόσβαση στην ευρύτερη υποδομή της Bitrefill, συμπεριλαμβανομένων μερών της βάσης δεδομένων της και των πορτοφολιών κρυπτονομισμάτων.

Η παραβίαση έγινε γρήγορα εμφανής όταν η εταιρεία παρατήρησε ασυνήθιστα μοτίβα αγορών μεταξύ ορισμένων προμηθευτών, σηματοδοτώντας ότι οι επιτιθέμενοι εκμεταλλεύονταν το απόθεμα δωροκαρτών της και τις αλυσίδες εφοδιασμού. Η εταιρεία σημείωσε επίσης ότι οι επιτιθέμενοι άδειαζαν ορισμένα hot wallets και μετέφεραν κεφάλαια στις δικές τους διευθύνσεις, μετά την οποία το σύστημα τέθηκε εκτός σύνδεσης για να περιοριστεί η ζημιά.

"Η Bitrefill λειτουργεί μια παγκόσμια επιχείρηση ηλεκτρονικού εμπορίου με δεκάδες προμηθευτές, χιλιάδες προϊόντα και πολλαπλές μεθόδους πληρωμής σε πολλές χώρες. Το να απενεργοποιηθούν με ασφάλεια όλα αυτά τα πράγματα και να επανέλθουν σε σύνδεση δεν είναι τετριμμένο", δήλωσε η εταιρεία σε ανακοίνωση.

Από το περιστατικό, η Bitrefill συνεργάζεται με ερευνητές ασφαλείας, ομάδες αντιμετώπισης περιστατικών, αναλυτές on-chain και αρχές επιβολής του νόμου για τη διερεύνηση της παραβίασης.

Επίπτωση δεδομένων πελατών

Οι χάκερ απέκτησαν πρόσβαση σε ένα μικρό σύνολο αρχείων αγορών, περίπου 18.500, που περιείχαν

Η Bitrefill δήλωσε ότι δεν υπάρχουν στοιχεία ότι τα δεδομένα πελατών ήταν κύριος στόχος. Τα αρχεία καταγραφής της δείχνουν ότι οι επιτιθέμενοι εκτέλεσαν έναν περιορισμένο αριθμό ερωτημάτων που στόχευαν στα κρυπτονομίσματα και το απόθεμα δωροκαρτών αντί να εξάγουν ολόκληρη τη βάση δεδομένων.

Η πλατφόρμα αποθηκεύει ελάχιστα προσωπικά δεδομένα και δεν απαιτεί υποχρεωτικό KYC. Ένα μικρό υποσύνολο αρχείων αγορών, περίπου 18.500, έγινε προσβάσιμο, περιέχοντας πληροφορίες όπως διευθύνσεις email, διευθύνσεις πληρωμών κρυπτονομισμάτων και μεταδεδομένα συμπεριλαμβανομένων διευθύνσεων IP. Περίπου 1.000 αρχεία περιείχαν κρυπτογραφημένα ονόματα για συγκεκριμένα προϊόντα· η εταιρεία αντιμετωπίζει αυτά τα δεδομένα ως ενδεχομένως συμβιβασμένα και έχει ειδοποιήσει τους επηρεαζόμενους πελάτες απευθείας μέσω email.

Προς το παρόν, η Bitrefill δεν πιστεύει ότι οι πελάτες χρειάζεται να λάβουν οποιαδήποτε επιπλέον μέτρα, αν και συμβουλεύει προσοχή σχετικά με απροσδόκητες επικοινωνίες που σχετίζονται με την Bitrefill ή κρυπτονομίσματα.

Βήματα για την ενίσχυση της ασφάλειας

Ως απάντηση στην παραβίαση, η Bitrefill δήλωσε ότι έχει ήδη ενισχύσει τις πρακτικές κυβερνοασφάλειάς της και εργάζεται για να αντλήσει διδάγματα από το περιστατικό.

Η εταιρεία περιέγραψε διάφορα μέτρα, συμπεριλαμβανομένης της διεξαγωγής ολοκληρωμένων δοκιμών διείσδυσης με εξωτερικούς ειδικούς, της αυστηροποίησης των εσωτερικών ελέγχων πρόσβασης, της βελτίωσης της καταγραφής και παρακολούθησης για ταχύτερη ανίχνευση απειλών και της βελτίωσης των διαδικασιών αντιμετώπισης περιστατικών και των αυτοματοποιημένων πρωτοκόλλων τερματισμού.

Κοιτάζοντας μπροστά

Η Bitrefill αναγνώρισε ότι αυτή ήταν η πρώτη μεγάλη επίθεση σε περισσότερο από μια δεκαετία λειτουργίας, αλλά τόνισε ότι παραμένει καλά χρηματοδοτημένη και κερδοφόρα, ικανή να απορροφήσει λειτουργικές απώλειες. Τα περισσότερα συστήματα, συμπεριλαμβανομένων των πληρωμών, του αποθέματος και των λογαριασμών, είναι ξανά σε σύνδεση, με τους όγκους πωλήσεων να επιστρέφουν στα κανονικά.

"Το να δεχτείς επίθεση από μια εξελιγμένη επίθεση είναι άσχημο (πολύ)", δήλωσε η εταιρεία. "Αλλά επιβιώσαμε. Θα συνεχίσουμε να κάνουμε το καλύτερο δυνατό για να συνεχίσουμε να αξίζουμε την εμπιστοσύνη των πελατών μας."