Bitrefill遭朝鲜关联黑客组织渗透,资产与数据双线受损
比特币支付平台Bitrefill近期遭遇严重网络入侵,导致部分加密资产外流。调查显示,此次攻击行为与朝鲜支持的黑客团体“拉撒路集团”存在显著关联,其技术特征与历史攻击模式高度一致。
攻击特征匹配:恶意软件与链上痕迹高度重合
在对3月1日发生的系统入侵事件展开调查后,Bitrefill确认多个关键指标指向“拉撒路/蓝宝石罗夫”组织。这些指标涵盖恶意代码类型、链上资金追踪路径、重复使用的IP地址及注册邮箱等,均与过往攻击案例呈现强相似性。
入侵起点:员工终端成突破口
攻击最初通过一名员工的笔记本电脑实现突破。攻击者利用该设备获取历史认证凭证,进而访问存储运营敏感信息的系统快照。
随后,其权限逐步扩大,成功进入内部数据库与部分加密货币钱包系统。异常的礼品卡库存调用行为成为首次触发警报的关键信号。
公司确认,部分热钱包中的资金已被转移至攻击者控制的地址。发现异常后,立即全面暂停系统运行以遏制损失蔓延。
数据暴露范围:客户信息有限但存风险
初步评估显示,客户个人数据并非攻击核心目标。日志分析表明,攻击者仅执行了有限的数据查询操作,行为更偏向于试探性信息收集。
然而,约18,500条交易记录被非法访问,其中包括电子邮件、加密货币支付地址及用户登录时的IP地址。尽管姓名字段已加密,但密钥可能已暴露,因此仍被视为潜在泄露。
公司已向约1000名受影响用户发送独立通知,并建议保持警惕,防范与加密货币相关的钓鱼或诈骗信息。
同时,公司已部署多项安全升级措施,包括强化身份验证机制、优化实时监控系统以及扩大渗透测试覆盖范围。本次事件造成的财务损失将由企业自有资金承担。
持续威胁:拉撒路集团重塑行业安全格局
尽管行业整体防护能力提升,但拉撒路集团的威胁仍在持续演进。该组织曾在2025年2月从Bybit平台窃取约14亿美元,创下全球单次黑客攻击金额纪录。
链上分析师ZachXBT指出,自Bybit、DMM Bitcoin到WazirX等重大事件以来,被盗资金的洗钱流程始终高效且难以追踪。他认为,“当前洗钱网络的实际运作已实质性超越现有监管框架的控制力”。
此次Bitrefill事件再次印证了拉撒路集团惯用的“分阶段渗透—权限提升—资产转移”策略,凸显整个加密生态在防御体系上的深层脆弱性。