Bitrefill 已於 2026 年 3 月 1 日披露一場網路攻擊的細節,揭示攻擊者已清空其熱錢包資金,並入侵了部分內部基礎設施。
该公司表示,其調查發現此次攻擊與過去與 Lazarus Group 相關的活動存在多項相似之處,但並未明確歸咎於該組織。
該漏洞是在 Bitrefill 發現與其供應商網絡相關的異常購買模式,以及來自其錢包的未授權轉帳後被發現的。公司立即將系統下線以控制此事件。
攻擊始於遭入侵的員工裝置
根據 Bitrefill 的說法,此次入侵源於一名員工的筆記型電腦遭入侵,使攻擊者得以提取舊版憑證。
該憑證提供了對包含生產密鑰的快照的存取權限,使攻擊者能夠提升其在公司基礎設施部分的權限。
從那裡,攻擊者獲得了對內部系統、資料庫片段和某些加密貨幣錢包的存取權限。這最終導致資金移動和運營中斷。
熱錢包因供應渠道被利用而被盜取
Bitrefill 表示,攻擊者利用了其禮品卡庫存系統和加密貨幣基礎設施。
可疑的購買活動顯示供應鏈被濫用,同時熱錢包被抽空,資金被轉移至攻擊者控制的地址。
公司未披露損失資金的總價值,但仍確認此次入侵影響了其電商運營和錢包餘額。
已存取 18,500 筆記錄,資料外洩範圍受限
資料庫日誌顯示,此次入侵期間約有 18,500 筆購買記錄被存取。外洩的資料包括:
- 電子郵件地址
- 加密貨幣付款地址
- 元數據,例如 IP 位址
約有 1,000 筆購買記錄包含客戶姓名。雖然這些資料已加密,但 Bitrefill 表示攻擊者可能已取得加密金鑰,因此將其視為可能外洩。
此類受影響用戶已收到通知。
該公司強調,沒有證據顯示整個資料庫被提取,並指出這些查詢似乎僅限於探索性操作。
調查中發現與 Lazarus 相關的模式
Bitrefill 表示,其調查(基於惡意軟體分析、鏈上追蹤以及重複使用的基礎設施,如 IP 和電子郵件地址)發現與已知的 Lazarus 組織及其相關單位 Bluenoroff 所使用的手法有相似之處。
儘管歸因仍持謹慎態度,但作案手法與工具的重疊表明此次攻擊可能與以往針對加密貨幣公司的活動一致。
系統已恢復,運作逐步正常化
事件發生後,Bitrefill 與外部網絡安全公司、鏈上分析師及執法部門合作,以控制漏洞並恢復運營。大部分服務,包括付款和產品可用性,均已恢復正常。
公司表示,其財務狀況依然穩健,並將從營運資金中承擔損失。此外,公司還列出了事發後採取的措施,包括:
- 加強的存取控制
- 擴展監控與日誌記錄
- 額外的安全審計與滲透測試
Bitrefill 表示,客戶資料並非主要目標,根據目前的調查結果,用戶無需採取特定行動,只需對可疑通訊保持警惕。
最終摘要
- Bitrefill 確認遭受網絡攻擊,導致熱錢包資金被盜,並洩露了有限的用戶數據,調查顯示該攻擊與釣魚集團的手段相似。
- 此事件突顯了加密貨幣基礎設施持續存在的安全風險,特別是來自針對運營弱點的複雜且與國家相關的威脅行為者。