Bitrefill公布遭朝鲜黑客组织入侵详情,溯源指向“拉撒路”
Bitrefill近日发布针对3月1日安全事件的完整调查报告,明确指出此次攻击由朝鲜背景黑客团体“拉撒路”实施。该组织曾于去年初对Bybit平台发动史上最大规模单笔加密盗窃案,涉案金额逾十亿美元。公司虽未透露具体财务损失数额,但详细说明了攻击路径——黑客通过入侵员工使用的笔记本电脑,获取系统访问权限,进而实现多个热钱包资产的非法转移。
多维度溯源确认攻击者身份,技术特征高度吻合
Bitrefill在调查中整合了恶意软件指纹、攻击行为模式、链上资金流动轨迹以及历史关联的IP地址与邮箱账户复用证据,构建出完整的攻击画像。事件起始于员工终端被植入恶意程序,攻击者借此提取遗留凭证,突破防线进入包含生产环境密钥的系统快照区域。
获得初始权限后,攻击者在内部网络横向扩散,最终触及数据库与部分加密货币热钱包系统。安全团队最初通过供应商端“异常采购行为”识别风险,当时黑客正利用礼品卡库存与供应链接口进行隐蔽操作。
紧急隔离措施启动,系统恢复耗时超两周
在发现热钱包资金持续流向攻击者控制地址后,公司立即执行全系统下线策略以阻断威胁蔓延。由于其全球电商生态覆盖数千商品及数十家合作供应商,重启流程复杂且耗时超过十四个工作日。调查表明,攻击者主要目标并非用户隐私数据——该公司业务模式极少留存个人身份信息,绝大多数用户无需完成KYC认证,高阶验证信息由第三方服务商托管且未存于受侵系统。
尽管如此,仍有约1.85万条交易记录遭泄露,包含客户邮箱、加密支付地址及来源IP等元数据。其中近千名购买特定需实名商品的用户信息虽经加密处理,但因密钥可能暴露,公司已视同数据泄露并主动通知相关用户。
损失由企业自担,系统修复与防御升级同步推进
Bitrefill声明将自行承担此次事件带来的全部财务影响。公司强调当前现金流充裕且持续盈利,所有用户资产处于安全状态。事件发生后,已联合多家网络安全机构开展链上资金追踪与服务器取证清理,并强化内部权限管理机制,杜绝单一节点失守引发全局性风险。
目前,公司正与外部专家协作推进深度渗透测试,以排查潜在隐患。支付通道、库存调度及账户功能等核心服务已基本恢复正常运行。