Криптоплатформа Bitrefill, один из крупнейших в мире сервисов подарочных карт с поддержкой криптовалют, подтвердила масштабную кибератаку, произошедшую 1 марта 2026 года. Компания обвинила во взломе северокорейскую хакерскую группировку Lazarus Group (также известную как Bluenoroff). Злоумышленники получили доступ к горячим криптокошелькам платформы и скомпрометировали более 18 500 записей о покупках клиентов.
Что такое Bitrefill и почему он стал мишенью
Bitrefill — это глобальная платформа электронной коммерции, позволяющая использовать Bitcoin и другие криптовалюты для покупки подарочных карт, пополнения мобильных счетов и оплаты услуг в тысячах магазинов по всему миру. Платформа работает с десятками поставщиков и обрабатывает тысячи транзакций ежедневно.
Именно наличие горячих криптокошельков с ликвидными средствами и сложная цепочка поставок подарочных карт сделали Bitrefill привлекательной мишенью. В отличие от бирж, где основные активы хранятся в холодных хранилищах, gift-card платформы нуждаются в постоянном доступе к ликвидности для мгновенного выполнения заказов клиентов.
Хронология и механизм атаки
Взлом начался с компрометации ноутбука одного из сотрудников компании. Через скомпрометированное устройство злоумышленники получили устаревшие учётные данные (legacy credentials), которые всё ещё имели доступ к производственной инфраструктуре. Это позволило хакерам проникнуть к производственным ключам и получить контроль над частью систем платформы.
Bitrefill обнаружила аномалию, когда заметила необычные паттерны закупок у поставщиков подарочных карт. Злоумышленники эксплуатировали цепочку поставок gift-карт, перенаправляя средства и заказы на внешние адреса. Помимо этого, хакеры получили доступ к горячим криптокошелькам платформы и вывели из них средства ещё до того, как компания успела заблокировать доступ.
После обнаружения вторжения Bitrefill немедленно отключила затронутые системы для локализации угрозы. Компания привлекла независимых исследователей кибербезопасности и уведомила правоохранительные органы для проведения расследования.
Масштаб утечки данных
Среди скомпрометированных данных — электронные адреса пользователей, адреса криптовалютных кошельков для оплаты и метаданные вроде IP-адресов. Примерно в тысяче случаев могли быть раскрыты зашифрованные имена пользователей. Компания подчеркнула, что персональные данные не были главной целью атаки — анализ серверных логов показал, что хакеры сосредоточились на криптовалютных резервах и запасах подарочных карт.
Конкретную сумму похищенных средств Bitrefill не раскрыла, однако подтвердила готовность покрыть все убытки из операционного капитала. Объёмы продаж платформы уже вернулись к нормальному уровню, а большинство систем — включая платежи, товарные запасы и учётные записи — полностью восстановлено.
Почему подозревают группу Lazarus
Bitrefill атрибутировала атаку группе Lazarus на основании комплексного анализа: характерные сигнатуры вредоносного программного обеспечения, ончейн-трассировка движения похищенных средств, а также IP-адреса и почтовые ящики, ранее фигурировавшие в операциях этой группировки.
Lazarus Group — это подразделение кибервойск, связанное с правительством Северной Кореи. По оценкам блокчейн-аналитиков, группировка ответственна за хищение не менее $6,75 млрд в криптовалюте за всё время деятельности. Среди наиболее крупных операций Lazarus:
- Bybit ($1,5 млрд): в феврале 2026 года хакеры вывели Ethereum из горячих кошельков биржи, совершив крупнейшую криптокражу в истории
- Ronin Network ($625 млн): взлом сайдчейна экосистемы Axie Infinity в 2022 году
- Harmony Horizon Bridge ($100 млн): атака на межцепочечный мост в 2022 году
- WazirX и Atomic Wallet: хищение средств с индийской биржи и популярного десктопного кошелька
Меры безопасности после инцидента
Bitrefill внедрила комплексную программу повышения безопасности после атаки. Компания провела серию пенетрационных тестов, существенно усилила контроль доступа к критической инфраструктуре и расширила системы мониторинга и логирования. Все устаревшие учётные данные были аннулированы и заменены новыми с повышенными требованиями к сложности.
Руководство Bitrefill признало серьёзность инцидента, но подчеркнуло устойчивость компании: «Пострадать от изощрённой атаки — это очень болезненно. Но мы выстояли». Платформа подтвердила, что все клиенты, чьи данные были скомпрометированы, получат соответствующие уведомления с рекомендациями по безопасности.
Выводы для криптоиндустрии
Взлом Bitrefill, произошедший всего через неделю после рекордной атаки на Bybit, демонстрирует нарастающую угрозу со стороны государственных хакерских группировок для всей криптоинфраструктуры. Мишенями становятся не только биржи, но и смежные сервисы — платёжные платформы, мосты, кошельки и e-commerce решения.
Недавний взлом Venus Protocol на $3,7 млн через манипуляцию ценой и атака на Bitrefill за один месяц подчёркивают разнообразие угроз — от уязвимостей смарт-контрактов до социальной инженерии и компрометации сотрудников. Эксперты рекомендуют криптокомпаниям минимизировать объёмы средств в горячих кошельках, внедрять аппаратные ключи аутентификации и регулярно ротировать учётные данные доступа к критическим системам.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *