Bitrefill says attack shows Lazarus Group patterns after hot wallets drained

ambcryptoPublicado a 2026-03-17Actualizado a 2026-03-17

Resumen

Bitrefill disclosed a cyberattack on March 1, 2026, in which attackers drained funds from its hot wallets and accessed internal systems. The intrusion began with a compromised employee laptop, leading to the theft of legacy credentials and production secrets. Attackers exploited gift card inventory systems and moved funds to external addresses. Approximately 18,500 purchase records were accessed, including emails, crypto addresses, and metadata, with around 1,000 records including potentially exposed customer names. The investigation revealed similarities with tactics used by the Lazarus Group, though attribution was not definitive. Bitrefill has since restored systems, notified affected users, and strengthened security controls. The company stated it remains financially stable and will cover the losses from operational capital.

Bitrefill has disclosed details of a cyberattack on 1 March 2026, revealing that attackers drained funds from its hot wallets and accessed parts of its internal infrastructure.

The company said its investigation identified multiple similarities with past operations linked to the Lazarus Group. However, it stopped short of definitively attributing the attack.

The breach was detected after Bitrefill observed unusual purchasing patterns tied to its supplier network, alongside unauthorized transfers from its wallets. The company immediately took its systems offline to contain the incident.

Attack began with compromised employee device

According to Bitrefill, the intrusion originated from a compromised employee’s laptop, which allowed attackers to extract a legacy credential.

That credential provided access to a snapshot containing production secrets, enabling the attackers to escalate privileges across parts of the company’s infrastructure.

From there, the attackers gained access to internal systems, database segments, and certain cryptocurrency wallets. This ultimately led to fund movements and operational disruptions.

Hot wallets drained as supply channels exploited

Bitrefill said the attackers exploited both its gift card inventory system and crypto infrastructure.

Suspicious purchasing activity revealed that supply lines were being abused, while hot wallets were simultaneously drained and funds moved to attacker-controlled addresses.

The company did not disclose the total value of funds lost. Still, it confirmed that the breach impacted both its e-commerce operations and wallet balances.

18,500 records accessed, limited data exposure

Database logs showed that approximately 18,500 purchase records were accessed during the breach. The exposed data included:

  • Email addresses
  • Crypto payment addresses
  • Metadata such as IP addresses

For around 1,000 purchases, customer names were included. While this data was encrypted, Bitrefill said the attackers may have accessed the encryption keys and is treating it as potentially exposed.

Affected users in this category have already been notified.

The company emphasized that there is no evidence of a full database extraction, noting that the queries appeared limited and exploratory.

Lazarus-linked patterns flagged in investigation

Bitrefill said its investigation—based on malware analysis, on-chain tracing, and reused infrastructure such as IP and email addresses—revealed similarities with known tactics used by the Lazarus Group and its associated unit, Bluenoroff.

While attribution remains cautious, the overlap in modus operandi and tooling suggests the attack may align with previous campaigns targeting crypto companies.

Systems restored as operations normalize

Following the incident, Bitrefill worked with external cybersecurity firms, on-chain analysts, and law enforcement to contain the breach and restore operations. Most services, including payments and product availability, have since returned to normal.

The company said it remains financially stable and will absorb the losses from operational capital. It also outlined steps taken post-incident, including:

  • Strengthened access controls
  • Expanded monitoring and logging
  • Additional security audits and penetration testing

Bitrefill added that customer data was not the primary target and, based on current findings, users do not need to take specific action beyond remaining cautious of suspicious communications.

Final Summary

  • Bitrefill confirmed a cyberattack that drained hot wallets and exposed limited user data, with the investigation pointing to similarities with the tactics of the Lazarus Group.
  • The incident highlights ongoing security risks in crypto infrastructure, particularly from sophisticated, state-linked threat actors targeting operational weaknesses.

Preguntas relacionadas

QWhat was the initial entry point for the cyberattack on Bitrefill?

AThe intrusion originated from a compromised employee’s laptop, which allowed attackers to extract a legacy credential.

QWhich threat actor group did the attack show similarities to, according to Bitrefill's investigation?

AThe investigation revealed similarities with the tactics used by the Lazarus Group and its associated unit, Bluenoroff.

QWhat type of customer data was potentially exposed for approximately 1,000 purchases?

AFor around 1,000 purchases, customer names were included. While the data was encrypted, the attackers may have accessed the encryption keys.

QWhat two main company systems did the attackers exploit during the breach?

AThe attackers exploited both its gift card inventory system and crypto infrastructure.

QWhat was the total number of purchase records that were accessed during the security breach?

AApproximately 18,500 purchase records were accessed during the breach.

Lecturas Relacionadas

¿Cuánto de tu suscripción a Claude se destina realmente a las empresas de módulos ópticos?

Breve resumen: Un gráfico que desglosa los 20 USD mensuales de Claude Pro en costes de modelo, computación en la nube, depreciación de GPU, electricidad y cadena de suministro está impulsando un debate entre inversores sobre cómo valorar los ingresos por IA. A diferencia del SaaS tradicional, donde el coste marginal por uso adicional es casi cero, cada consulta en un modelo de IA genera costes variables de inferencia (GPU, energía, ancho de banda). Esto cuestiona si los ingresos por suscripción a IA equivalen a ingresos SaaS de alto margen. Actualmente, el crecimiento del uso de IA beneficia de forma más directa y predecible a la infraestructura (nube, GPU, HBM, electricidad) que a las empresas de aplicaciones. Los defensores argumentan que la optimización de modelos, caché, chips propios y una mejor eficiencia reducirán los costes unitarios, permitiendo márgenes similares al software. Sin embargo, el reto es si esta reducción de costes superará el aumento del volumen y la complejidad de las tareas. Para justificar valoraciones elevadas, las empresas de IA deben demostrar que pueden mantener o mejorar la rentabilidad a medida que escala el uso, no solo el número de suscriptores.

marsbitHace 11 min(s)

¿Cuánto de tu suscripción a Claude se destina realmente a las empresas de módulos ópticos?

marsbitHace 11 min(s)

El negocio de precios previos a la apertura de Hyperliquid de OpenAI, ¿por qué solo duró seis meses?

El artículo analiza el cierre de Ventuals, una plataforma de contratos previos a la OPI en Hyperliquid respaldada por Paradigm, tras solo nueve meses de funcionamiento. Mientras que Trade.xyz triunfó con SpaceX al basarse en un precio de referencia claro (su salida a bolsa), Ventuals fracasó con OpenAI y Anthropic. El problema clave fue su mecanismo de fijación de precios: dependía en un 50% de transacciones privadas opacas y en otro 50% de su propio precio promedio, creando un círculo vicioso inflado y desconectado de la oferta y demanda real. Esto resultó en precios artificialmente altos y baja liquidez. Al cerrar, fijó precios finales (OpenAI a 1.341,80 USD; Anthropic a 1.618,90 USD) que, aunque precisos en forma, carecían de veracidad. Irónicamente, algunos empleados e inversores de estas empresas usaban estos precios como referencia debido a la falta de transparencia en el mercado privado. El caso expone el desafío fundamental de valorar empresas no cotizadas: sin un mercado abierto y un evento de liquidación claro (como una OPI), cualquier precio es inherentemente frágil. A pesar del cierre de Ventuals, la demanda de este tipo de activos persiste, atrayendo a actores más grandes como Coinbase, pero el problema de base de la valoración sigue sin resolverse.

marsbitHace 27 min(s)

El negocio de precios previos a la apertura de Hyperliquid de OpenAI, ¿por qué solo duró seis meses?

marsbitHace 27 min(s)

Con una actividad diaria 3-4 veces mayor que el segundo lugar en la industria, ¿qué brecha ha abierto WorkBuddy de Tencent en los Agentes de oficina?

En junio de 2026, los datos de OpenAI destacaron el rápido crecimiento de usuarios no desarrolladores en herramientas de IA. Paralelamente, en China, WorkBuddy de Tencent logró una actividad diaria 3-4 veces mayor que su competidor más cercano, atrayendo principalmente a profesionales no técnicos como HR, operaciones y administración. WorkBuddy surgió de CodeBuddy, una herramienta para desarrolladores, cuando empleados no técnicos comenzaron a usarla para tareas de oficina. Su desarrollo se centró en eliminar barreras: una interfaz conversacional simple, plantillas preconfiguradas para más de 20 escenarios (como análisis de datos o creación de contenido) y una integración nativa con aplicaciones como Tencent Docs y WeChat, evitando que los usuarios cambien de entorno. Mientras herramientas como Codex de OpenAI o Claude Code de Anthropic partían de entornos para desarrolladores (CLI, IDE), WorkBuddy se diseñó desde el inicio para usuarios no técnicos, priorizando la simplicidad y el acceso inmediato. Esto le permitió ganar una ventana de oportunidad en el mercado. Su crecimiento se refleja en datos: 885 millones de visitas mensuales en PC en mayo de 2026, un crecimiento mensual del 831% en marzo y una expansión de capacidad de 10 veces tras su lanzamiento público. Su modelo de precios, con planes desde 39 RMB/mes, también facilitó una mayor adopción. Aunque OpenAI y Anthropic están redirigiendo sus productos hacia usuarios no técnicos con complementos y interfaces simplificadas, WorkBuddy mantiene una ventaja inicial en la integración con el ecosistema de oficina chino. Su desafío futuro será consolidarse en el segmento empresarial y competir cuando los rivales globales optimicen su capa de interacción para no desarrolladores.

marsbitHace 35 min(s)

Con una actividad diaria 3-4 veces mayor que el segundo lugar en la industria, ¿qué brecha ha abierto WorkBuddy de Tencent en los Agentes de oficina?

marsbitHace 35 min(s)

OpenAI revela sus estados financieros auditados: Pérdidas de 38,5 mil millones de dólares en 2025, 19,2 mil millones quemados en I+D, y Microsoft recauda 17,2 mil millones en un año

Auditoría financiera de OpenAI revela pérdidas de 38.500 millones en 2025 Los estados financieros auditados de OpenAI muestran una situación financiera crítica, con pérdidas que se dispararon de 5.100 millones de dólares en 2024 a 38.530 millones en 2025. **2024:** La empresa registró ingresos de 3.700 millones, pero costes y gastos totales de 12.480 millones, resultando en una pérdida neta atribuible a la compañía de 5.100 millones. **2025:** Los ingresos aumentaron a 13.070 millones, pero los costes y gastos se multiplicaron hasta los 34.000 millones. Tras ajustes contables relacionados con su cambio a entidad con fines de lucro y otros factores, la pérdida neta atribuible a OpenAI alcanzó los 38.530 millones de dólares. Los gastos en I+D fueron de 19.180 millones. Un dato clave: OpenAI pagó a Microsoft 17.200 millones en 2025 por servicios, principalmente por costes de I+D (10.590 millones) y coste de ingresos (6.047 millones). También recibió pagos de socios como SoftBank (867 millones) y el propio Microsoft (303 millones). La compañía finalizó 2025 con activos por unos 50.000 millones, casi la mitad en efectivo. Las cifras plantean serias dudas sobre el camino de la empresa hacia la sostenibilidad y la rentabilidad.

marsbitHace 37 min(s)

OpenAI revela sus estados financieros auditados: Pérdidas de 38,5 mil millones de dólares en 2025, 19,2 mil millones quemados en I+D, y Microsoft recauda 17,2 mil millones en un año

marsbitHace 37 min(s)

El minado de Bitcoin se transforma en centros de datos para IA: la decisión de 'vender' de Sangha

Autor: Corazón del Hash Rate En junio de 2026, apenas seis meses después de inaugurar su mina de Bitcoin "Genesis" (19,9 MW) en Texas, la empresa Sangha anuncia que está considerando venderla, formar una empresa conjunta o buscar un socio estratégico. La mina, que opera con electricidad barata ($32/MWh) suministrada directamente desde una granja solar y está lista para ampliarse a 110,4 MW, es rentable. La razón de la venta no son las pérdidas, sino el alto valor que el sitio tiene ahora para la industria de la IA. Los compradores potenciales buscan infraestructura con acceso inmediato a energía y permisos, algo escaso y que requiere años de trámites. Sangha promociona el sitio no solo para minería, sino también para IA, computación de alto rendimiento (HPC) y estrategias híbridas. Este caso refleja una tendencia más amplia en la industria minera, donde empresas como Core Scientific ya están diversificándose hacia la IA. A diferencia de las mineras públicas, Sangha opera con un modelo ágil basado en vehículos de propósito específico (SPV), lo que hace que Genesis sea un activo atractivo y fácil de adquirir para un comprador. Así, el "nuevo modelo" de Sangha para el flujo de capital en Bitcoin podría terminar siendo la venta de sus valiosos activos energéticos a la IA por una prima, planteando la pregunta: si los mejores sitios con energía se destinan a la IA, ¿dónde encontrarán su próximo espacio los mineros de Bitcoin?

marsbitHace 1 hora(s)

El minado de Bitcoin se transforma en centros de datos para IA: la decisión de 'vender' de Sangha

marsbitHace 1 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow