Bitrefill这家做了十年多的加密礼品卡平台,3月初被一波高端攻击干翻了。官方在X上发的披露文章直言,这手法跟朝鲜Lazarus集团一脉相承,简直像教科书级别的供应链+内网渗透组合拳。
攻击发生在3月1日。黑客先搞定了一名员工的旧设备,捞到一个尘封已久的登录凭证。凭这个点,他们迅速拉取生产环境的密钥,步步提权,最后摸到了部分数据库和几个加密钱包。Bitrefill最先察觉异常是因为供应商端刷出了大量不正常的采购单,礼品卡库存和供应链同时被薅。钱包也被直接转走一部分资金。
公司反应还算快,发现不对劲后直接把所有系统下线,启动了应急隔离。官方自己都忍不住吐槽:被这么狠地打脸真的很糟心,十年第一次栽这么大跟头。不过他们也硬气地说,熬过去了。
泄露范围不算小,总共牵扯到18500条购买记录。里面有用户的邮箱地址、加密货币付款地址、IP等元数据。还有大约1000笔交易涉及需要填写真实姓名的商品,虽然那些名字是加密存储的,但如果黑客同时拿到解密密钥,风险就直接拉满。Bitrefill已经逐一通知受影响的用户。好在用户自己账户里的礼品卡余额、店铺积分这些都没动。平台从来不强制KYC,高限额用户提交的身份信息也全丢给第三方处理,自己不留底。
链上痕迹、恶意软件样本、复用的IP和邮箱基础设施,全都指向Lazarus集团旗下的Bluenoroff分支。这个团伙过去几年已经从加密行业卷走了几十亿美元,手段越来越娴熟。Bitrefill找了专业安全公司和执法部门一起溯源,目前证据链基本闭环。
损失部分公司决定用自有运营资金兜底,不打算让用户买单。事发后平台大部分功能已经恢复,支付通道、库存、用户账户都重新上线。最新销售数据甚至回到事发前水平,说明用户信任崩得没想象中严重。
现在Bitrefill明显在补课。加了更多渗透测试,收紧权限管理,升级日志监控,还搞了自动化关停机制。说白了,这次被打醒后,他们把安全预算直接拉高了一个档次。
加密行业这种事其实年年有。Lazarus从2018年就开始盯着交易所和钱包服务商下手,Bybit、KuCoin、Harmony桥都吃过大亏。Bitrefill体量不算顶级,但坚持做礼品卡场景十年,算得上老玩家。这次被精准点杀,暴露了遗留凭证和员工设备管理的老毛病。
当前市场还在震荡,BTC现报$74,692(24h +0.77%),ETH现报$2,339(24h +0.20%),主流币种波动都不算剧烈。用户对平台安全的要求却只会越来越高。Bitrefill能挺过来是好事,但也给整个行业提了个醒:再老的平台,也经不起一次疏忽。
攻击者选在这个时间点动手,或许也算准了市场相对平静,不容易引发恐慌踩踏。平台自己发文承认“sucks a lot”,态度倒还算坦诚。接下来能不能把安全真正做到位,才是用户最关心的。毕竟,谁都不想下次买杯星巴克,结果邮箱被钓鱼邮件轰炸。