Криптоплатформа Bitrefill, один із найбільших у світі сервісів подарункових карток із підтримкою криптовалют, підтвердила масштабну кібератаку, що відбулася 1 березня 2026 року. Компанія звинуватила у зламі північнокорейське хакерське угруповання Lazarus Group (також відоме як Bluenoroff). Зловмисники отримали доступ до гарячих криптогаманців платформи та скомпрометували понад 18 500 записів про покупки клієнтів.
Що таке Bitrefill і чому він став мішенню
Bitrefill — це глобальна платформа електронної комерції, що дозволяє використовувати Bitcoin та інші криптовалюти для придбання подарункових карток, поповнення мобільних рахунків та оплати послуг у тисячах магазинів по всьому світу. Платформа працює з десятками постачальників і обробляє тисячі транзакцій щодня.
Саме наявність гарячих криптогаманців із ліквідними коштами та складний ланцюг постачання подарункових карток зробили Bitrefill привабливою мішенню. На відміну від бірж, де основні активи зберігаються у холодних сховищах, gift-card платформи потребують постійного доступу до ліквідності для миттєвого виконання замовлень клієнтів.
Хронологія та механізм атаки
Злам розпочався з компрометації ноутбука одного зі співробітників компанії. Через скомпрометований пристрій зловмисники здобули застарілі облікові дані (legacy credentials), які все ще мали доступ до виробничої інфраструктури. Це дозволило хакерам проникнути до виробничих ключів та отримати контроль над частиною систем платформи.
Bitrefill виявила аномалію, коли помітила незвичні патерни закупівель серед постачальників подарункових карток. Зловмисники експлуатували ланцюг постачання gift-карток, перенаправляючи кошти та замовлення на зовнішні адреси. Окрім цього, хакери отримали доступ до гарячих криптогаманців платформи та вивели з них кошти ще до того, як компанія встигла заблокувати доступ.
Після виявлення вторгнення Bitrefill негайно відключила уражені системи для локалізації загрози. Компанія залучила незалежних дослідників кібербезпеки та повідомила правоохоронні органи для проведення розслідування.
Масштаб витоку даних
Серед скомпрометованих даних — електронні адреси користувачів, адреси криптовалютних гаманців для оплати та метадані на кшталт IP-адрес. У приблизно тисячі випадків могли бути розкриті зашифровані імена користувачів. Компанія наголосила, що персональні дані не були головною ціллю атаки — аналіз серверних логів показав, що хакери зосереджувались на криптовалютних резервах та запасах подарункових карток.
Конкретну суму вкрадених коштів Bitrefill не оприлюднила, проте підтвердила готовність покрити всі збитки з операційного капіталу. Обсяги продажів платформи вже повернулися до нормального рівня, а більшість систем — включно з платежами, товарними запасами та обліковими записами — повністю відновлено.
Чому підозрюють групу Lazarus
Bitrefill атрибутувала атаку групі Lazarus на підставі комплексного аналізу: характерні сигнатури шкідливого програмного забезпечення, ончейн-трасування руху вкрадених коштів, а також IP-адреси та поштові скриньки, що раніше фігурували в операціях цього угруповання.
Lazarus Group — це підрозділ кібервійськ, пов'язаний з урядом Північної Кореї. За оцінками блокчейн-аналітиків, угруповання відповідальне за крадіжку щонайменше $6,75 млрд у криптовалюті за весь час діяльності. Серед найгучніших операцій Lazarus:
- Bybit ($1,5 млрд): у лютому 2026 року хакери вивели Ethereum з гарячих гаманців біржі, здійснивши найбільшу криптокрадіжку в історії
- Ronin Network ($625 млн): злам бічного ланцюга екосистеми Axie Infinity у 2022 році
- Harmony Horizon Bridge ($100 млн): атака на міжланцюговий міст у 2022 році
- WazirX та Atomic Wallet: викрадення коштів з індійської біржі та популярного десктопного гаманця
Заходи безпеки після інциденту
Bitrefill впровадила комплексну програму підвищення безпеки після атаки. Компанія провела серію пенетраційних тестів, суттєво посилила контроль доступу до критичної інфраструктури та розширила системи моніторингу й логування. Усі застарілі облікові дані було анульовано та замінено новими з підвищеними вимогами до складності.
Керівництво Bitrefill визнало серйозність інциденту, але наголосило на стійкості компанії: «Постраждати від софістикованої атаки — це дуже боляче. Але ми вижили». Платформа підтвердила, що всі клієнти, чиї дані було скомпрометовано, отримають відповідні сповіщення з рекомендаціями щодо безпеки.
Висновки для криптоіндустрії
Злам Bitrefill, що стався лише через тиждень після рекордної атаки на Bybit, демонструє зростаючу загрозу з боку державних хакерських угруповань для всієї криптоінфраструктури. Мішенями стають не лише біржі, а й суміжні сервіси — платіжні платформи, мости, гаманці та e-commerce рішення.
Нещодавній злам Venus Protocol на $3,7 млн через маніпуляцію ціною та атака на Bitrefill за один місяць підкреслюють різноманітність загроз — від вразливостей смарт-контрактів до соціальної інженерії та компрометації співробітників. Експерти рекомендують криптокомпаніям мінімізувати обсяги коштів у гарячих гаманцях, впроваджувати апаратні ключі автентифікації та регулярно ротувати облікові дані доступу до критичних систем.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *