1 марта 2026 года Bitrefill — сервис покупки подарочных карт и мобильного пополнения за криптовалюту — сообщил о взломе. Злоумышленники получили доступ к внутренней инфраструктуре компании, вывели средства из горячих кошельков и похитили данные около 18 500 клиентов. По оценке аналитиков КоинКит, сумма похищенного составляет не менее $380 тыс.
Это не DeFi-эксплойт и не уязвимость в смарт-контракте. Атака началась с ноутбука сотрудника.
Ход инцидента
Злоумышленники получили начальный доступ через скомпрометированный ноутбук сотрудника, на котором хранились старые учётные данные. Эти данные открыли доступ к внутренним секретам компании, что позволило атакующим двигаться дальше по инфраструктуре.
1️⃣ Получение доступа к внутренней инфраструктуре через скомпрометированные учётные данные с ноутбука сотрудника.
2️⃣ Проникновение в часть базы данных: похищены около 18 500 записей о покупках, включая email-адреса, адреса криптоплатежей и IP-метаданные. Примерно в 1 000 случаях также могли быть затронуты имена клиентов — эти данные хранились в зашифрованном виде, но компания допускает, что атакующие могли получить доступ к ключам.
3️⃣ Вывод средств из горячих кошельков на адреса, контролируемые атакующими.
4️⃣ Параллельно зафиксированы подозрительные закупки подарочных карт у поставщиков — именно это первым привлекло внимание службы безопасности.
После обнаружения компания отключила системы для сдерживания атаки.
Связь с Lazarus
Bitrefill не заявила о стопроцентно доказанной атрибуции. Компания указала, что атака имеет признаки прошлых операций группировки Lazarus / Bluenoroff — по применённым методам, используемому malware, on-chain трассировке и повторному использованию IP- и email-инфраструктуры.
Lazarus — северокорейская хакерская группировка, связанная с государственными кибероперациями. Ранее эта группа стояла за рядом крупнейших краж в криптоиндустрии.
Детали расследования: движение средств
Аналитики КоинКит выявили ключевые адреса, задействованные в краже.
Сеть TRON: средства с двух горячих адресов Bitrefill консолидировались на адресе TKUytGqw3VpSG1ZHbQmsmWKemM6vRniGfQ. С этого адреса средства переводились в сеть Ethereum через ChangeNOW, Symbiosis Finance и другие сервисы.
Сеть Ethereum: ключевой адрес 0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763. На него напрямую поступали средства из горячего кошелька Bitrefill, а также через ChangeNOW. Дополнительно на адрес поступали средства из FixedFloat и переброшенные из сети Bitcoin — связать их происхождение с Bitrefill не удалось.
В конечном итоге все средства ушли в миксер Tornado Cash.
Заключение
Атака на Bitrefill демонстрирует, что наиболее уязвимое место в инфраструктуре компании — не смарт-контракт и не протокол, а человек. Скомпрометированный ноутбук одного сотрудника открыл путь к горячим кошелькам и клиентским данным.
Подобные атаки, предположительно связанные с Lazarus, отличаются терпением и подготовкой: первичный доступ монетизируется не сразу, а после изучения инфраструктуры жертвы.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентом.
