Bitrefill 遭疑似北韓拉撒路(Lazarus)入侵：熱錢包受損、18,500 筆購買紀錄遭存取

加密貨幣支付與禮品卡平台 Bitrefill 指出，3 月 1 日（當地時間）發生的資安事件背後疑似與北韓關聯駭客組織「拉撒路」(Lazarus)有關。Bitrefill 表示，此次入侵導致部分基礎設施與加密貨幣錢包受損，並有約 18,500 筆購買紀錄遭外部存取，事件已促使公司全面強化「資安」與「錢包」控管。

根據 Bitrefill 於 X（原推特）發布的事件報告，攻擊者取得「生產環境金鑰」後，將「熱錢包」資金轉至外部地址，同時存取到部分包含電子郵件、付款地址與 IP 位址的購買資料。Bitrefill 表示已逐一通知受影響用戶，並承諾將以公司營運資金全額補償損失；目前支付、庫存、帳號等核心系統大多已恢復運作，銷售量也正回到正常水準。

Bitrefill 認為，這次攻擊手法與拉撒路旗下常被提及的 Bluenoroff 等過往行動高度相似，包含以惡意程式作為切入點、逐步擴張內部權限，並結合「鏈上追蹤」與重複使用的 IP、Email 等線索來推進行動。過去拉撒路曾被市場指涉為多起重大 крипто 安全事件的幕後勢力，常見目標包含交易所、跨鏈橋與錢包等「關鍵基礎設施」，以及可直接動用資金的營運金鑰。

事件的起點則被 Bitrefill 指向一台員工筆電疑似遭入侵。公司表示，攻擊過程中外洩了先前使用的「舊版憑證」，對方據此進一步擴大存取範圍，最終滲透到部分資料庫與加密貨幣錢包相關區域。入侵之所以曝光，是因供應商端偵測到異常購買模式，顯示攻擊者可能利用禮品卡庫存與供應鏈機制取得不當利益，或從熱錢包提領資金並轉移至其控制地址。Bitrefill 隨後將系統下線，採取緊急隔離與止血措施。

在資料外洩範圍方面，Bitrefill 強調並無證據顯示整個資料庫遭到大量傾倒（dump）。公司內部紀錄顯示，攻擊者查詢重點更偏向「加密資產持倉」與「禮品卡庫存」等營運核心資訊，而非全面性竊取客戶資料。不過，Bitrefill 也坦承約 18,500 筆購買紀錄曾被存取，其中包含 Email、加密貨幣付款地址、IP 位址等「中繼資料」。另外約 1,000 筆紀錄含有與特定商品連動的加密使用者名稱，Bitrefill 將其視為潛在受影響範圍，並以 Email 直接通知相關用戶。

Bitrefill 也再次強調平台採取「最小化個資保存」，且非強制 KYC（客戶身分驗證）的運作模式，因此目前判斷多數用戶不太需要額外處置。但公司仍提醒，若收到自稱 Bitrefill 或與加密貨幣付款相關的非預期聯繫，需提高警覺，避免後續可能出現的「釣魚」與社交工程攻擊。

事後修復與強化面，Bitrefill 表示正重新整理整體防護架構，包含與外部專家合作進行全面滲透測試、加嚴內部存取治理、強化紀錄與監控以提升威脅偵測速度，並優化事件應變流程與必要時的自動「停機」協議，以縮短攻擊擴散時間。

評論：這起事件再次凸顯，加密商務平台的風險不只在「鏈上」，更集中於金鑰治理、員工端點安全與供應鏈異常監控。一旦「熱錢包」或營運金鑰遭到竊取，即使鏈上交易可追蹤，資金追回依舊極其困難；因此企業的資產分層、金鑰權限最小化與快速隔離機制，往往才是決定損失上限的關鍵。

Bitrefill 於報告中形容遭遇精密攻擊「令人恐懼」，但也強調公司已挺過衝擊，並將持續證明值得用戶信任。Bitrefill 也提到，這是其營運十多年來的首起大型攻擊，並表示憑藉資金與獲利能力，將可吸收此次事件造成的營運損失，後續將以更高標準的「資安」與「熱錢包」管理作為重點改善方向。