疑似北韓駭客攻擊 Bitrefill 導致錢包資金被盜

Bitrefill 披露其在 3 月 1 日遭受網路攻擊,導致加密貨幣資金被盜,並表示其調查發現多項指標將此事件與北韓相關的 Lazarus/Bluenoroff 組織所使用的戰術相連結。

該公司表示,攻擊者的方法、惡意軟體、鏈上追蹤模式以及 IP 和電子郵件地址的重複使用等相似之處,與該組織先前的行動一致。

Bitrefill 網路攻擊

據該公司表示,此次入侵源於一名員工的筆記型電腦遭到入侵,攻擊者從中提取了一個舊有憑證。該憑證允許存取包含生產環境機密資訊的快照,攻擊者隨後利用這些資訊擴大了對 Bitrefill 系統的存取權限。這使他們能夠觸及部分資料庫和某些加密貨幣錢包。

Bitrefill 在其最新推文中表示,在偵測到涉及某些供應商的異常購買模式後,首次發現了這起事件,這表明其禮品卡庫存和供應流程遭到濫用。同時,它觀察到一些熱錢包正在被掏空,資金被發送到攻擊者控制的地址。一旦確認發生入侵,該公司立即關閉了所有系統以控制局勢。

事件發生後,Bitrefill 確認一直在與外部網路安全專家、事件應變團隊、區塊鏈分析師以及執法機構合作。

該公司表示,沒有跡象顯示客戶資料是此次攻擊的主要目標。根據其記錄,攻擊者執行了有限數量的資料庫查詢,與探測活動一致,以識別可提取的內容。這包括加密貨幣和禮品卡庫存。Bitrefill 補充說,它儲存的個人資料極少,且不要求強制性 KYC,任何驗證資訊均由外部供應商持有。

然而,它確認約 18,500 筆購買記錄遭到存取,包括電子郵件地址、加密貨幣支付地址以及 IP 地址等元資料。在大約 1,000 個案例中,客戶為特定產品提供了姓名,這些資訊已加密,但由於加密金鑰可能遭到洩露,該公司將其視為可能已被存取。這些用戶已收到通知。

Bitrefill 表示,目前認為客戶無需採取特定行動,但建議對任何與 Bitrefill 或加密貨幣相關的意外通訊保持警惕。

該公司補充說,已加強其安全措施,包括進行進一步的外部網路安全審查和滲透測試、加強內部存取控制、改善監控和日誌系統,以及完善事件應變程序。它表示財務損失將由其營運資本承擔,大部分服務(包括支付和庫存)已恢復。

Lazarus 的破壞

儘管近年來許多加密平台加強了其安全框架,威脅行為者仍持續繞過防護措施。Lazarus Group 仍然是該領域最持久且最危險的對手,在 2025 年 2 月從 Bybit 竊取 14 億美元後,成為有紀錄以來最大規模加密駭客攻擊的幕後黑手。

區塊鏈調查員 ZachXBT 此前表示,涉及 Bybit、DMM Bitcoin 和 WazirX 等平台的入侵事件中,被盜資金輕易地被洗錢。這位鏈上調查員補充說,洗錢組織「似乎在與執法部門的對抗中獲勝」。

《疑似北韓相關駭客參與 Bitrefill 入侵事件並掏空錢包》一文首次發表於 CryptoPotato。