摘要:Bitrefill披露3月1日重大安全事件,确认攻击源自朝鲜黑客组织“拉撒路”,通过员工设备渗透导致热钱包资产外泄。尽管用户数据未大规模泄露,但部分交易元数据可能暴露,公司已启动全面整改与链上追踪。
Bitrefill确认遭朝鲜黑客组织“拉撒路”入侵,事件溯源深度披露
Bitrefill近日发布针对3月1日安全事件的完整调查报告,明确指出此次攻击由朝鲜背景的黑客团体“拉撒路”实施。该组织曾于去年初对Bybit平台发动史上最大规模单笔加密资产窃取行动,涉案金额逾十亿美元。公司虽未公布具体财务损失,但详述了攻击路径:黑客通过感染员工笔记本电脑获取初始访问权限,进而窃取系统凭证并侵入多个热钱包。
攻击路径还原:从终端渗透到密钥窃取的全链条分析
溯源报告显示,判定攻击者身份的依据涵盖多维度证据:特定恶意软件指纹、与朝鲜过往攻击行为一致的操作习惯、链上资金转移模式匹配度,以及复用历史已知的IP地址与邮箱账户。攻击始于员工终端被植入恶意程序,利用遗留登录凭据进入系统快照环境,从而获取生产密钥。
在获得核心密钥后,攻击者在内部网络横向扩散,最终触达数据库及部分热钱包节点。安全团队最初通过监测供应商端异常采购行为发现异状——黑客正利用礼品卡库存与供应链系统实施隐蔽操作。
应急响应机制启动:系统停摆两周完成安全重启
在识别到热钱包资金持续流向攻击者控制地址后,公司迅速执行全系统下线以阻断威胁蔓延。由于其全球电商架构覆盖数千商品及数十家合作方,恢复流程复杂且耗时超过两周。调查显示,攻击者主要目标并非用户个人资料——该公司业务模式本身极少留存用户信息,多数客户无需提供身份验证,高阶验证数据由第三方服务商托管,未存储于受侵系统中。
然而,仍有约1.85万条交易记录被非法获取,包含客户邮箱、加密支付地址及来源IP等元数据。其中,约千名购买需实名认证商品的用户信息虽经加密处理,但因密钥存在泄露风险,公司已按潜在泄露标准进行通报并启动应对措施。
损失承担与系统加固:全面排查与服务恢复并行推进
Bitrefill声明将自行承担本次事件造成的全部财务影响。公司强调当前现金流充裕且持续盈利,所有用户资产处于绝对安全状态。事件后已联合多家网络安全机构开展链上资金追踪与服务器取证清理工作,并强化内部权限隔离机制,防止单一入口突破引发全局性风险。
目前,公司正与外部专家协作推进深度渗透测试,以识别潜在隐患。支付系统、库存管理及账户功能等核心模块已基本恢复正常运行,整体运营秩序逐步回归稳定。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。