Bitrefill这家做了十多年加密支付和礼品卡生意的平台,3月1日被黑了。直接甩锅给朝鲜背景的Lazarus集团。损失不小,热钱包被掏空,18500条购买记录泄露,公司自己掏运营资金兜底。
攻击路径很典型。先是员工笔记本中招,泄露了老旧凭证。黑客顺藤摸瓜拿到生产环境的密钥。接着就开始薅礼品卡供应链的羊毛,同时从热钱包转走资金。Bitrefill发现异常购买模式后赶紧把系统下线。整个过程快狠准,符合Lazarus一贯的手法:用恶意软件、链上追踪、重用IP和邮箱地址。之前Ronin Network被卷走6.2亿美元,Harmony Horizon桥丢了1亿美元,WazirX和Atomic Wallet也中过招,这次Bitrefill不过是又一个受害者。
泄露的数据不算核心隐私。平台本来就不强制KYC,存的个人信息极少。18500条记录里主要是邮箱、加密货币支付地址、IP地址这些元数据。其中大概1000条还带了加密后的用户名。公司判断黑客主要冲着加密资产和礼品卡库存去的,没证据显示他们想大批量扒用户数据库。日志显示查询次数有限,目标明确。Bitrefill已经邮件通知受影响用户,目前没要求大家额外做什么,只是提醒小心冒充Bitrefill的钓鱼邮件和可疑转账。
修复和补救动作来得快。公司找了安全研究员、事件响应团队、链上分析专家,还报了警。内部已经加固了好几层:外部渗透测试全面铺开,访问控制收紧,日志监控升级,自动关停机制也优化了。十多年没出过大事故,这次算是头一遭。公司自己说挨了这么高级的攻击很糟心,但活下来了。系统基本恢复,支付、库存、账户都上线,销量回到正常水平。最关键的是资金链没断,运营资本够厚,能扛住这次损失。
加密圈这种国家级黑客攻击从来不是新鲜事。Lazarus从2017年Bithumb开始就没闲着,链上资金流向经常指向朝鲜控制的地址。Bitrefill这次暴露的痛点其实很扎心:员工端点安全、遗留凭证管理、供应链风险,哪个环节松了都可能被一锅端。热钱包被提走的部分资金,链上追踪难度不小,追回希望渺茫。
市场情绪这边,BTC现报$73,876(24h跌0.71%),ETH现报$2,319(24h跌0.73%),大盘还在低位震荡。XRP报$1.52(24h跌0.92%),离Deribit那个1460万美元期权密集区不远,稍微有点风吹草动就容易被撬。Bitrefill事件本身对现货价格影响有限,但对中小平台的信任度又是一次打击。用户选平台的时候,恐怕得多想想:热钱包比例高不高?有没有冷存储承诺?供应链审计做得够不够深?
Bitrefill活了这么久还能自己兜底,已经算硬气。声明里那句“Getting hit by a sophisticated attack sucks (a lot),但我们活下来了”挺实在。加密世界里,能扛住Lazarus一击的平台本来就不多。接下来看他们怎么把安全承诺落到实处,用户会不会继续买单。