加密礼品卡及电子商务平台 Bitrefill 发布了一份详细的事件分析报告，披露了一起始于 2026 年 3 月 1 日的网络攻击事件，该事件泄露了约 18500 条购买记录，并导致多个公司的热钱包资金被耗尽。

该公司在其官方账号的一篇帖子中将此次攻击归咎于“拉撒路集团”，这是一个与朝鲜有关联的国家支持的黑客组织，或者是其金融犯罪分支“蓝诺夫”。

所暴露的内容

被泄露的记录包含了有限范围的客户数据，包括电子邮件地址、加密货币支付地址以及诸如 IP 地址之类的元数据。其中约 1000 条受影响的记录还包含了客户姓名。尽管这些数据是以加密形式存储的，但 Bitrefill 仍将其视为可能已遭泄露，因为攻击者可能在入侵过程中获取了相关的加密密钥。


Bitrefill 明确表示并未收集任何强制性的 KYC（了解你的客户）数据。该公司不会将这些信息存储在其内部系统中，而是通过一家未受此次数据泄露影响的外部供应商来管理这些信息。对于大多数受影响的用户而言，所受到的影响仅限于交易元数据，而非身份证明文件或财务验证记录。

攻击过程解析

此次入侵始于一台被攻破的员工笔记本电脑。从这一初始入侵点出发，攻击者获取了比特瑞菲尔公司所称的“遗留凭证”，即一套未完全退役的旧版访问密钥。利用这些凭证，攻击者得以访问包含生产机密信息的系统快照，从而为他们深入比特瑞菲尔公司的更广泛基础设施并访问其数据库系统奠定了基础。

一旦进入内部，攻击者盗取了多家公司的加密货币“热钱包”中的资金，并通过 Bitrefill 的礼品卡供应商下达了可疑订单，这表明他们有意通过该平台自身的供应链将被盗取的访问权限转化为可用资金。

Bitrefill 根据在取证调查过程中发现的特定入侵指标，将此次攻击与拉撒路集团联系了起来。这些指标包括入侵中使用的恶意软件、重复使用的此前与朝鲜黑客活动相关的 IP 地址和电子邮件地址，以及对被盗资金的链上追踪，该追踪指向了与拉撒路此前活动相关的钱包。

响应与恢复

Bitrefill 在检测到漏洞后不久便将系统下线，并在此后持续关闭了超过两周的时间，期间该公司一直在控制威胁并全面评估损失情况。该公司于 3 月 17 日确认，几乎所有的服务，包括支付、用户账户和产品库存，都已恢复正常运行。

该公司表示，其将用自身的运营资金来全额弥补此次事件造成的所有财务损失。用户的账户余额未受此次事件影响，仍保持不变。

Bitrefill 目前正与网络安全公司 zeroShadow 和 SEAL911 合作，以在其基础设施中实施更严格的内部访问控制措施和更完善的监控机制。该公司指出，遗留的凭证和未更新的系统快照是导致此次攻击从单个受感染设备升级为对整个基础设施进行访问的两个关键故障点。

更广泛的背景

“拉撒路集团”在加密货币领域已活跃多年，并且是破坏性最大的威胁组织之一。该组织在数十起事件中涉及了数十亿美元的被盗加密货币，据称所得款项被用于资助朝鲜的武器项目。此次攻击的目标是一个中型加密货币交易平台，而非大型交易所，这反映了该组织在进行更引人注目的攻击的同时，还同时针对大量较小目标的普遍模式。

对于 Bitrefill 的用户而言，此次特定数据泄露所带来的直接风险相对可控，因为其未涉及 KYC（了解你的客户）数据。更重要的启示在于，仅仅一个未经过管理的凭证就能让具备高超技术的国家层面的攻击者找到一条途径，从而渗透到整个公司的网络系统之中。

免责声明：小链网不支持此页面上的任何内容、准确性、质量、广告、产品或其他材料。读者在采取与加密货币相关的任何行动之前应自行进行研究。小链网 不直接或间接对因使用或依赖提及的任何内容、商品或服务而造成或被指称造成的任何损害或损失负责。