Bitrefill遭朝鲜关联黑客组织渗透，资产外流事件引关注

近期，比特币支付服务提供商Bitrefill确认其系统遭受外部网络攻击，导致部分加密资产流失。初步调查结果显示，此次事件与朝鲜背景的“拉撒路集团”存在高度关联，其技术特征与过往多起重大攻击案高度一致。

攻击溯源：多重痕迹指向朝鲜黑客势力

在对3月1日发生的系统异常进行深入分析后，Bitrefill识别出多个与拉撒路/蓝宝石罗夫组织相关的恶意行为模式。这些包括特定类型恶意软件部署、链上资金追踪策略以及重复使用的IP地址和电子邮件账户，均与历史攻击记录高度吻合。

入侵路径：从终端设备渗透至核心系统

攻击初始阶段源于一名员工的笔记本电脑被攻陷。攻击者利用窃取的旧认证凭证，成功进入内部备份环境，获取了包含运营敏感数据的快照文件。

随后，攻击者逐步扩大权限，突破安全边界，访问到部分数据库与加密货币存储节点。异常的礼品卡调用与库存变更行为最终触发了安全警报机制。

公司确认，部分热钱包中的资金已被转入未知地址。在发现异常后，已立即实施全面系统停机，以遏制进一步损失。

数据影响范围与用户通知机制

调查显示，客户信息并非主要目标。日志显示，攻击者仅执行了有限的数据查询操作，行为更偏向于探测性信息收集。

尽管如此，约18,500条交易记录被读取，涵盖用户邮箱、加密货币支付地址及来源IP。虽然姓名字段经加密处理，但因密钥可能泄露，仍被视为存在暴露风险。公司已向约1000名受影响个体发送定向通知。

目前，用户暂无需采取紧急行动，但公司提醒注意任何与加密资产相关的可疑通信或链接。

为强化防御能力，企业已启动多项升级计划，包括细化访问权限管理、增强实时监控体系，并扩大红队渗透测试覆盖范围。本次事件造成的财务损失将由公司自有资金承担。

长期威胁态势：洗钱链条持续冲击监管体系

尽管行业整体安全防护能力有所提升，但拉撒路集团仍维持高活跃度。该组织曾在2025年2月从Bybit平台盗取约14亿美元，创下全球加密资产失窃金额新纪录。

链上分析师ZachXBT指出，自Bybit、DMM Bitcoin、WazirX等大型事件以来，被盗资金的清洗流程愈发高效，表明“洗钱基础设施已超越现行监管响应速度”。

此次Bitrefill事件再次印证了拉撒路集团典型的“分阶段潜伏—横向移动—资产转移”攻击范式，反映出当前加密生态在纵深防御层面仍存明显短板。