Bitrefill says attack shows Lazarus Group patterns after hot wallets drained

ambcryptoPublicado a 2026-03-17Actualizado a 2026-03-17

Resumen

Bitrefill disclosed a cyberattack on March 1, 2026, in which attackers drained funds from its hot wallets and accessed internal systems. The intrusion began with a compromised employee laptop, leading to the theft of legacy credentials and production secrets. Attackers exploited gift card inventory systems and moved funds to external addresses. Approximately 18,500 purchase records were accessed, including emails, crypto addresses, and metadata, with around 1,000 records including potentially exposed customer names. The investigation revealed similarities with tactics used by the Lazarus Group, though attribution was not definitive. Bitrefill has since restored systems, notified affected users, and strengthened security controls. The company stated it remains financially stable and will cover the losses from operational capital.

Bitrefill has disclosed details of a cyberattack on 1 March 2026, revealing that attackers drained funds from its hot wallets and accessed parts of its internal infrastructure.

The company said its investigation identified multiple similarities with past operations linked to the Lazarus Group. However, it stopped short of definitively attributing the attack.

The breach was detected after Bitrefill observed unusual purchasing patterns tied to its supplier network, alongside unauthorized transfers from its wallets. The company immediately took its systems offline to contain the incident.

Attack began with compromised employee device

According to Bitrefill, the intrusion originated from a compromised employee’s laptop, which allowed attackers to extract a legacy credential.

That credential provided access to a snapshot containing production secrets, enabling the attackers to escalate privileges across parts of the company’s infrastructure.

From there, the attackers gained access to internal systems, database segments, and certain cryptocurrency wallets. This ultimately led to fund movements and operational disruptions.

Hot wallets drained as supply channels exploited

Bitrefill said the attackers exploited both its gift card inventory system and crypto infrastructure.

Suspicious purchasing activity revealed that supply lines were being abused, while hot wallets were simultaneously drained and funds moved to attacker-controlled addresses.

The company did not disclose the total value of funds lost. Still, it confirmed that the breach impacted both its e-commerce operations and wallet balances.

18,500 records accessed, limited data exposure

Database logs showed that approximately 18,500 purchase records were accessed during the breach. The exposed data included:

  • Email addresses
  • Crypto payment addresses
  • Metadata such as IP addresses

For around 1,000 purchases, customer names were included. While this data was encrypted, Bitrefill said the attackers may have accessed the encryption keys and is treating it as potentially exposed.

Affected users in this category have already been notified.

The company emphasized that there is no evidence of a full database extraction, noting that the queries appeared limited and exploratory.

Lazarus-linked patterns flagged in investigation

Bitrefill said its investigation—based on malware analysis, on-chain tracing, and reused infrastructure such as IP and email addresses—revealed similarities with known tactics used by the Lazarus Group and its associated unit, Bluenoroff.

While attribution remains cautious, the overlap in modus operandi and tooling suggests the attack may align with previous campaigns targeting crypto companies.

Systems restored as operations normalize

Following the incident, Bitrefill worked with external cybersecurity firms, on-chain analysts, and law enforcement to contain the breach and restore operations. Most services, including payments and product availability, have since returned to normal.

The company said it remains financially stable and will absorb the losses from operational capital. It also outlined steps taken post-incident, including:

  • Strengthened access controls
  • Expanded monitoring and logging
  • Additional security audits and penetration testing

Bitrefill added that customer data was not the primary target and, based on current findings, users do not need to take specific action beyond remaining cautious of suspicious communications.

Final Summary

  • Bitrefill confirmed a cyberattack that drained hot wallets and exposed limited user data, with the investigation pointing to similarities with the tactics of the Lazarus Group.
  • The incident highlights ongoing security risks in crypto infrastructure, particularly from sophisticated, state-linked threat actors targeting operational weaknesses.

Preguntas relacionadas

QWhat was the initial entry point for the cyberattack on Bitrefill?

AThe intrusion originated from a compromised employee’s laptop, which allowed attackers to extract a legacy credential.

QWhich threat actor group did the attack show similarities to, according to Bitrefill's investigation?

AThe investigation revealed similarities with the tactics used by the Lazarus Group and its associated unit, Bluenoroff.

QWhat type of customer data was potentially exposed for approximately 1,000 purchases?

AFor around 1,000 purchases, customer names were included. While the data was encrypted, the attackers may have accessed the encryption keys.

QWhat two main company systems did the attackers exploit during the breach?

AThe attackers exploited both its gift card inventory system and crypto infrastructure.

QWhat was the total number of purchase records that were accessed during the security breach?

AApproximately 18,500 purchase records were accessed during the breach.

Lecturas Relacionadas

¿Señal del fondo histórico reaparece? Messari valorado en 300 millones se vende por solo 10 millones

El otrora gigante de datos cripto Messari, valorado en 300 millones de dólares en 2022, fue vendido por apenas algo más de 10 millones en junio de 2026 a su competidor Blockworks. Su declive, acelerado por la IA que abarató el coste de la investigación, es parte de un patrón más amplio de contracción en la industria. Plataformas de datos como DappRadar y Parsec han cerrado, medios como CoinDesk se vendieron con descuento, y fondos de capital de riesgo están reduciendo inversiones drásticamente o cambiando su enfoque hacia la IA. Al mismo tiempo, varios indicadores sugieren que este profundo pesimismo podría señalar un fondo de mercado histórico. Bitcoin ha caído casi un 50% desde su máximo, el índice de miedo y codicia ha estado en "miedo extremo" durante más de 50 días, y los poseedores a largo plazo controlan casi el 80% de la oferta en circulación, un nivel asociado con mínimos anteriores. La actividad de inversión de capital riesgo es la más baja desde 2020, justo antes del repunte de DeFi. Fondos como Dragonfly están recaudando capital de manera contraria para aprovechar los precios bajos, y Blockworks está utilizando su financiación para consolidar el sector de datos. La combinación de estos factores de estrés extremo ha precedido históricamente a nuevos ciclos alcistas importantes.

marsbitHace 15 min(s)

¿Señal del fondo histórico reaparece? Messari valorado en 300 millones se vende por solo 10 millones

marsbitHace 15 min(s)

Las ventas de las TPU de Google se revisan al alza en un 50%

Recientemente, los ajustes en las expectativas de envíos de las Unidades de Procesamiento Tensor (TPU) de Google han generado un repunte clave en el sector de la capacidad computacional para IA. Varias instituciones han revisado al alza las previsiones, situando los envíos potenciales para 2027 en 15 millones de unidades, un aumento del 50% respecto a estimaciones anteriores de 10 millones. Este crecimiento impulsará la demanda en toda la cadena de suministro, beneficiando especialmente a sectores como motores ópticos NPO (con una relación 1:1 con las TPU), módulos ópticos 1.6T, conmutadores ópticos OCS, fuentes de alimentación para servidores, fibra óptica & MPO y refrigeración líquida. La refrigeración líquida emerge como un área de cambio significativo y potencial de alto rendimiento. El aumento en el consumo energético de las nuevas TPU hace indispensable esta tecnología, con 2026 marcado como el año de su despliegue masivo en los clústeres de Google. Las limitaciones de capacidad y tecnología de los proveedores tradicionales están creando una ventana de oportunidad para que los fabricantes chinos, con ventajas en velocidad de iteración, capacidad de entrega y disponibilidad de producción, se integren en la cadena de suministro central. El sector de la fibra óptica también ve reforzada su lógica de crecimiento. La demanda explosiva de los centros de datos de IA, unida a los largos ciclos de ampliación de capacidad (18-24 meses para la preforma), está generando un desajuste estructural entre oferta y demanda. Se prevé que las exportaciones chinas de fibra alcancen 200-300 millones de kilómetros de núcleo en 2026. Los acuerdos de compra a largo plazo con los principales proveedores de nube están estabilizando el sector. En conjunto, el aumento en las expectativas de envíos de las TPU de Google está trasladando el foco de inversión en IA desde la mera capacidad del chip hacia la infraestructura de soporte, consolidando la visibilidad de los ingresos para los próximos años en toda la cadena de suministro de computación.

marsbitHace 58 min(s)

Las ventas de las TPU de Google se revisan al alza en un 50%

marsbitHace 58 min(s)

Tras la recesión de las historias del ecosistema de las criptomonedas, ¿qué es lo que realmente quiere Wall Street?

El título sugiere un cambio: después de la fiebre de las criptomonedas, Wall Street busca algo distinto. El artículo detalla esta evolución. En 2008, el colapso de Lehman Brothers coincidió con el nacimiento del Bitcoin, una crítica al sistema financiero tradicional. Diecisiete años después, Wall Street ha adoptado la tecnología blockchain, pero no para especular con criptomonedas. Su objetivo es crear una infraestructura financiera controlada, rentable y regulada sobre registros distribuidos. Un ejemplo clave es el fondo BUIDL de BlackRock, que ofrece bonos del Tesoro estadounidense tokenizados. Es accesible solo para grandes inversores, está totalmente respaldado por activos seguros y permite transferencias instantáneas las 24 horas a través de Securitize. Esta empresa, valorada en 12.500 millones de dólares, pronto cotizará en la Bolsa de Nueva York (NYSE), la cual planea un sistema de liquidación de acciones en cadena con Securitize como agente de transferencia. Nasdaq también avanza en esta dirección. Para hacer el Bitcoin atractivo para fondos de pensiones, BlackRock lanzará el ETF BITA. En lugar de buscar ganancias por la revalorización, vende opciones de compra sobre su propio ETF de Bitcoin (IBIT) para generar ingresos por primas, transformando la volatilidad en un pago de intereses mensual predecible. Las stablecoins están siendo redefinidas como herramientas de pago, no de inversión. Empresas como Stripe las usan para pagos transfronterizos instantáneos, y Mastercard integra stablecoins como USDC para liquidaciones de tarjetas fuera del horario laboral. Incluso SWIFT explora un libro mayor compartido para bancos. La ley GENIUS de 2025 consolida este enfoque: prohíbe que las stablecoins paguen intereses y las somete a estrictas normas contra el lavado de dinero, convirtiéndolas en una extensión del sistema del dólar. En resumen, Wall Street está construyendo en la blockchain un espejo de su sistema tradicional: fondos de bonos, estrategias de opciones generadoras de ingresos y redes de pago reguladas. No se trata de reemplazar el sistema centralizado, sino de modernizarlo utilizando la tecnología de la cadena de bloques, integrándolo firmemente con el crédito soberano del dólar.

marsbitHace 1 hora(s)

Tras la recesión de las historias del ecosistema de las criptomonedas, ¿qué es lo que realmente quiere Wall Street?

marsbitHace 1 hora(s)

Amarrando su destino al carro de SpaceX: el ascenso de Cursor hacia los 600 mil millones de dólares

Resumen: El ascenso de Cursor, la startup de programación con IA valorada en 600.000 millones. Fundada en 2022 por el exalumno del MIT Michael Truell, Cursor creció rápidamente hasta alcanzar miles de millones en ingresos, ayudando a millones de desarrolladores a escribir código más rápido. Sin embargo, su dependencia del modelo Claude de Anthropic se volvió una amenaza cuando este lanzó su propio competidor, Claude Code. Para garantizar su futuro, Cursor desarrolló su propio modelo, Composer, y se alió con SpaceX de Elon Musk. El acuerdo le da a Cursor acceso a la supercomputadora Colossus y contempla una posible adquisición por 600.000 millones de dólares. A cambio, los datos de Cursor mejoran las capacidades de programación de Grok, el modelo de IA de Musk. La startup debe ahora navegar entre mantener su independencia como una "empresa generacional" o convertirse en una pieza clave dentro del ecosistema de IA de Musk, en medio de una feroz guerra por el talento y los recursos de computación.

marsbitHace 1 hora(s)

Amarrando su destino al carro de SpaceX: el ascenso de Cursor hacia los 600 mil millones de dólares

marsbitHace 1 hora(s)

Kraken Planea Futuros Perpétuos Regulados por la CFTC para Operadores Profesionales de EE.UU.

Kraken planea lanzar futuros perpetuos regulados por la CFTC para traders profesionales estadounidenses elegibles, a través de la plataforma de derivados Bitnomial que adquirió. Este producto, que no tiene fecha de vencimiento y utiliza tasas de financiación, será integrado en Kraken Pro. Los futuros perpetuos son un producto clave en el comercio global de criptoactivos, pero su oferta en EE.UU. ha sido limitada debido a restricciones regulatorias. Esta iniciativa de Kraken busca cerrar esa brecha, ofreciendo a los traders profesionales una ruta nacional regulada para acceder a un instrumento que domina el volumen en mercados internacionales. El lanzamiento podría fortalecer la posición de Kraken en el mercado de derivados de EE.UU. y, si tiene éxito, abrir la puerta a más productos similares en el entorno regulado. Los detalles clave a seguir serán los criterios de elegibilidad, los activos soportados, los términos de margen y, especialmente, la liquidez que se desarrolle en la plataforma.

bitcoinistHace 11 hora(s)

Kraken Planea Futuros Perpétuos Regulados por la CFTC para Operadores Profesionales de EE.UU.

bitcoinistHace 11 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow