Bitrefill遭境外黑客组织渗透:生产环境遭未授权访问
2026年3月,加密货币支付服务提供商Bitrefill确认其核心系统遭遇一次有组织的网络攻击,调查指向朝鲜背景的Lazarus集团。攻击起源于一台员工终端设备,利用过期凭证突破内部防线。
漏洞触发与横向移动路径
此次安全事件始于一台被恶意软件感染的笔记本电脑。攻击者通过提取其中残留的旧版认证凭据,绕过初始防御机制,进入生产环境的数据快照区域。该行为未触发即时警报,使攻击者得以持续驻留。
权限提升与资金转移过程
在获取敏感配置信息后,攻击者逐步扩大控制范围,渗透至数据库部分模块及多个热钱包节点。随后,他们将多笔资金转入由其掌控的外部地址,整个过程在数小时内完成。
异常交易模式最终被监测到——部分供应商账户出现非正常礼品卡消耗与付款请求,促使平台团队展开深入排查。技术分析显示,攻击者同时操控了库存与支付链路。
应急响应与溯源研判
Bitrefill于2026年3月1日发布完整事件通报,并迅速将全部在线系统下线隔离。恢复多渠道支付服务依赖跨机构协作与精细化回滚策略。
经过多方联合调查,取证结果显示所用恶意工具、链上资金流向特征以及重复使用的网络入口均与朝鲜Lazarus集团过往行动高度吻合。多家专业安全团队参与了后续取证工作。
受影响数据范围与客户通知机制
调查显示,攻击者主要聚焦于商品库存状态与支付接口信息,未大规模采集用户个人身份数据。然而,约18,500条交易记录中的电子邮件、加密钱包地址和IP元数据已被读取。
针对约1,000笔交易中以加密形式存储的姓名字段,公司判断存在被解密风险,视同已泄露。所有相关用户均通过邮件收到定向提醒。
平台建议用户留意可疑消息,保持警惕。若后续发现新威胁迹象,将及时更新通知。整个事件处理过程中,信息披露始终保持公开透明。
尽管发生重大安全事件,公司财务状况维持稳健,连续多年实现盈利。所有损失由自有运营资金承担,不影响服务连续性。当前支付量与交易处理能力已全面恢复正常。