Platforma płatności kryptowalutowych i kart podarunkowych Bitrefill obwiniła powiązaną z Koreą Północną grupę hakerską Lazarus za cyberatak z 1 marca 2026 r., który naruszył część jej infrastruktury i portfeli kryptowalutowych.

Atakujący uzyskali dostęp do kluczy produkcyjnych, przenieśli środki z gorących portfeli i ujawnili 18 500 zapisów zakupów zawierających e-maile, adresy płatności i adresy IP.

Około 1000 zapisów zawierało zaszyfrowane nazwy użytkowników. Dotknięci użytkownicy zostali powiadomieni. Operacje zostały wznowione, a firma ogłosiła pokrycie strat z kapitału operacyjnego. Incydent podkreśla znaczenie czujności w zakresie bezpieczeństwa kryptowalut i on-chain.

Modus operandi obejmował złośliwe oprogramowanie, śledzenie on-chain oraz ponownie używane adresy IP i e-mail i był podobny do poprzednich ataków przypisywanych północnokoreańskiej grupie Lazarus, znanej również jako Bluenoroff, powiedziała firma w szczegółowym raporcie na X.

Grupa Lazarus wcześniej atakowała projekty kryptowalutowe, w tym Ronin Network, Harmony's Horizon Bridge, WazirX i Atomic Wallet.

Jak przebiegał atak

Wszystko zaczęło się od skompromitowanego laptopa pracownika, który ujawnił stare dane uwierzytelniające i umożliwił atakującym dostęp do szerszej infrastruktury Bitrefill, w tym części jego bazy danych i portfeli kryptowalutowych.

Naruszenie szybko stało się widoczne, gdy firma zauważyła niezwykłe wzorce zakupów u niektórych dostawców, sygnalizując, że atakujący wykorzystują jej zapasy kart podarunkowych i łańcuchy dostaw. Firma zauważyła również, że atakujący opróżniają niektóre gorące portfele i przenoszą środki na własne adresy, po czym system został wyłączony w celu ograniczenia szkód.

"Bitrefill prowadzi globalną działalność e-commerce z dziesiątkami dostawców, tysiącami produktów i wieloma metodami płatności w wielu krajach. Bezpieczne wyłączenie i ponowne uruchomienie wszystkich tych elementów nie jest trywialne," powiedziała firma w oświadczeniu.

Od czasu incydentu Bitrefill współpracuje z badaczami bezpieczeństwa, zespołami reagowania na incydenty, analitykami on-chain i organami ścigania w celu zbadania naruszenia.

Wpływ na dane klientów

Hakerzy uzyskali dostęp do niewielkiego zestawu zapisów zakupów, około 18 500, zawierających

Bitrefill powiedział, że nie ma dowodów na to, że dane klientów były głównym celem. Jego dzienniki wskazują, że atakujący przeprowadzili ograniczoną liczbę zapytań dotyczących zasobów kryptowalut i zapasów kart podarunkowych, zamiast wyodrębniać całą bazę danych.

Platforma przechowuje minimalne dane osobowe i nie wymaga obowiązkowego KYC. Niewielki podzbiór zapisów zakupów, około 18 500, został uzyskany, zawierający informacje takie jak adresy e-mail, adresy płatności kryptowalutowych i metadane, w tym adresy IP. Około 1000 zapisów zawierało zaszyfrowane nazwy dla określonych produktów; firma traktuje te dane jako potencjalnie naruszone i powiadomiła bezpośrednio klientów za pośrednictwem e-maila.

Obecnie Bitrefill nie uważa, że klienci muszą podejmować jakiekolwiek dodatkowe działania, choć zaleca ostrożność w odniesieniu do nieoczekiwanej komunikacji związanej z Bitrefill lub kryptowalutami.

Kroki w celu wzmocnienia bezpieczeństwa

W odpowiedzi na naruszenie Bitrefill powiedział, że już wzmocnił swoje praktyki cyberbezpieczeństwa i pracuje nad wyciągnięciem wniosków z incydentu.

Firma przedstawiła kilka środków, w tym przeprowadzenie kompleksowych testów penetracyjnych z zewnętrznymi ekspertami, zacieśnienie wewnętrznych kontroli dostępu, ulepszenie rejestrowania i monitorowania w celu szybszego wykrywania zagrożeń oraz udoskonalenie procedur reagowania na incydenty i automatycznych protokołów zamykania.

Patrząc w przyszłość

Bitrefill przyznał, że był to jego pierwszy poważny atak w ciągu ponad dekady działalności, ale podkreślił, że pozostaje dobrze finansowany i rentowny, zdolny do wchłonięcia strat operacyjnych. Większość systemów, w tym płatności, zapasy i konta, jest z powrotem online, a wolumeny sprzedaży wracają do normy.

"Zostać uderzonym przez wyrafinowany atak to koszmar," powiedziała firma. "Ale przetrwaliśmy. Będziemy nadal robić wszystko, co w naszej mocy, aby nadal zasługiwać na zaufanie naszych klientów."