Bitrefill says attack shows Lazarus Group patterns after hot wallets drained

ambcryptoDipublikasikan tanggal 2026-03-17Terakhir diperbarui pada 2026-03-17

Abstrak

Bitrefill disclosed a cyberattack on March 1, 2026, in which attackers drained funds from its hot wallets and accessed internal systems. The intrusion began with a compromised employee laptop, leading to the theft of legacy credentials and production secrets. Attackers exploited gift card inventory systems and moved funds to external addresses. Approximately 18,500 purchase records were accessed, including emails, crypto addresses, and metadata, with around 1,000 records including potentially exposed customer names. The investigation revealed similarities with tactics used by the Lazarus Group, though attribution was not definitive. Bitrefill has since restored systems, notified affected users, and strengthened security controls. The company stated it remains financially stable and will cover the losses from operational capital.

Bitrefill has disclosed details of a cyberattack on 1 March 2026, revealing that attackers drained funds from its hot wallets and accessed parts of its internal infrastructure.

The company said its investigation identified multiple similarities with past operations linked to the Lazarus Group. However, it stopped short of definitively attributing the attack.

The breach was detected after Bitrefill observed unusual purchasing patterns tied to its supplier network, alongside unauthorized transfers from its wallets. The company immediately took its systems offline to contain the incident.

Attack began with compromised employee device

According to Bitrefill, the intrusion originated from a compromised employee’s laptop, which allowed attackers to extract a legacy credential.

That credential provided access to a snapshot containing production secrets, enabling the attackers to escalate privileges across parts of the company’s infrastructure.

From there, the attackers gained access to internal systems, database segments, and certain cryptocurrency wallets. This ultimately led to fund movements and operational disruptions.

Hot wallets drained as supply channels exploited

Bitrefill said the attackers exploited both its gift card inventory system and crypto infrastructure.

Suspicious purchasing activity revealed that supply lines were being abused, while hot wallets were simultaneously drained and funds moved to attacker-controlled addresses.

The company did not disclose the total value of funds lost. Still, it confirmed that the breach impacted both its e-commerce operations and wallet balances.

18,500 records accessed, limited data exposure

Database logs showed that approximately 18,500 purchase records were accessed during the breach. The exposed data included:

  • Email addresses
  • Crypto payment addresses
  • Metadata such as IP addresses

For around 1,000 purchases, customer names were included. While this data was encrypted, Bitrefill said the attackers may have accessed the encryption keys and is treating it as potentially exposed.

Affected users in this category have already been notified.

The company emphasized that there is no evidence of a full database extraction, noting that the queries appeared limited and exploratory.

Lazarus-linked patterns flagged in investigation

Bitrefill said its investigation—based on malware analysis, on-chain tracing, and reused infrastructure such as IP and email addresses—revealed similarities with known tactics used by the Lazarus Group and its associated unit, Bluenoroff.

While attribution remains cautious, the overlap in modus operandi and tooling suggests the attack may align with previous campaigns targeting crypto companies.

Systems restored as operations normalize

Following the incident, Bitrefill worked with external cybersecurity firms, on-chain analysts, and law enforcement to contain the breach and restore operations. Most services, including payments and product availability, have since returned to normal.

The company said it remains financially stable and will absorb the losses from operational capital. It also outlined steps taken post-incident, including:

  • Strengthened access controls
  • Expanded monitoring and logging
  • Additional security audits and penetration testing

Bitrefill added that customer data was not the primary target and, based on current findings, users do not need to take specific action beyond remaining cautious of suspicious communications.

Final Summary

  • Bitrefill confirmed a cyberattack that drained hot wallets and exposed limited user data, with the investigation pointing to similarities with the tactics of the Lazarus Group.
  • The incident highlights ongoing security risks in crypto infrastructure, particularly from sophisticated, state-linked threat actors targeting operational weaknesses.

Pertanyaan Terkait

QWhat was the initial entry point for the cyberattack on Bitrefill?

AThe intrusion originated from a compromised employee’s laptop, which allowed attackers to extract a legacy credential.

QWhich threat actor group did the attack show similarities to, according to Bitrefill's investigation?

AThe investigation revealed similarities with the tactics used by the Lazarus Group and its associated unit, Bluenoroff.

QWhat type of customer data was potentially exposed for approximately 1,000 purchases?

AFor around 1,000 purchases, customer names were included. While the data was encrypted, the attackers may have accessed the encryption keys.

QWhat two main company systems did the attackers exploit during the breach?

AThe attackers exploited both its gift card inventory system and crypto infrastructure.

QWhat was the total number of purchase records that were accessed during the security breach?

AApproximately 18,500 purchase records were accessed during the breach.

Bacaan Terkait

Polymarket yang Tersendat: Ujian Sebenarnya Setelah Melewati Masa Kejayaan Traffic Telah Tiba

Polymarket, platform prediksi terkemuka, menghadapi masalah kelambatan dan pengalaman perdagangan yang memburuk akibat pertumbuhan yang melampaui kapasitas infrastruktur saat ini. Wakil Presiden Teknik DeFi Polymarket, Josh Stevens, mengakui masalah ini dan mengumumkan rencana perbaikan, termasuk migrasi rantai (chain migration) dari Polygon. Awalnya, Polygon dipilih karena biaya rendah dan kemudahan penggunaan, tetapi kini menjadi penghambat pertumbuhan seiring Polymarket yang berevolusi menjadi platform perdagangan yang lebih kompleks dan frekuensi tinggi. Rencana perbaikan tidak hanya mencakup migrasi rantai, tetapi juga pembangunan ulang sistem order book (CLOB), pengurangan penundaan data on-chain, perbaikan masalah pembatalan transaksi, peningkatan kinerja situs web, dan pengembangan produk perpetual contracts (Perps). Beberapa blockchain seperti Solana, Sui, dan Algorand telah menawarkan diri untuk menjadi tuan rumah baru, sementara Polygon berusaha mempertahankan Polymarket mengingat kontribusinya yang signifikan terhadap pendapatan gas. Tantangan terbesar Polymarket kini adalah membangun infrastruktur yang stabil dan dapat diandalkan untuk mempertahankan kepercayaan pengguna dalam melakukan transaksi频繁.

Odaily星球日报Kemarin 03:21

Polymarket yang Tersendat: Ujian Sebenarnya Setelah Melewati Masa Kejayaan Traffic Telah Tiba

Odaily星球日报Kemarin 03:21

Anggota Kongres Kunci 'Melunak', Rintangan Terbesar Pengangkatan Wash sebagai Ketua Fed pada 15 Mei Telah Tersingkir

Hambatan politik utama untuk konfirmasi Kevin Warsh sebagai ketua Fed telah tersingkir setelah Senator Republik Thom Tillis mencabut penentangannya. Tillis sebelumnya khawatir investigasi kriminal terhadap ketua Fed incumbent Jerome Powell mengancam independensi bank sentral. Penarikan investigasi oleh Jaksa Federal memenuhi kekhawatirannya. Komite Perbankan Senat dijadwalkan mengadakan pemungutan suara untuk nominasi Warsh pada 29 April. Jika lolos, nominasi akan diajukan ke Senat penuh, dengan konfirmasi akhir diperkirakan bertepatan dengan berakhirnya masa jabatan Powell pada 15 Mei. Kebijakan Warsh berpotensi mengubah pasar secara signifikan. Dia berencana menghapus "dot plot" (proyeksi suku bunga), meninjau kembali pedoman kebijakan, dan berpotensi mengurangi frekuensi rapat. Langkah-langkah ini dapat mendekonstruksi "forward guidance" yang menjadi dasar penetapan harga aset global selama 15 tahun terakhir, memicu penilaian ulang besar-besaran di pasar saham, obligasi, dan valuta asing.

marsbitKemarin 02:58

Anggota Kongres Kunci 'Melunak', Rintangan Terbesar Pengangkatan Wash sebagai Ketua Fed pada 15 Mei Telah Tersingkir

marsbitKemarin 02:58

Menurunkan Ekspektasi untuk Bull Market Bitcoin Berikutnya

Artikel ini membahas penurunan ekspektasi penulis terhadap potensi kenaikan harga Bitcoin (BTC) pada siklus bull market berikutnya. Penulis, Alex Xu, yang sebelumnya memegang BTC sebagai aset terbesarnya, telah mengurangi porsi BTC dari full menjadi sekitar 30% pada kisaran harga $100.000-$120.000, dan kembali mengurangi di level $78.000-$79.000. Alasan utama penurunan ekspektasi ini adalah: 1. **Energi Penggerak yang Melemah:** Narasi adopsi BTC yang mendorong kenaikan signifikan di siklus sebelumnya (dari aset niche hingga institusi besar via ETF) sulit terulang. Langkah berikutnya, seperti masuknya BTC ke dalam cadangan bank sentral negara maju, dianggap sangat sulit tercapai dalam 2-3 tahun ke depan. 2. **Biaya Peluang Pribadi:** Penulis menemukan peluang investasi yang lebih menarik di perusahaan-perusahaan lain. 3. **Dampak Resesi Industri Kripto:** Menyusutnya industri kripto secara keseluruhan (banyak model bisnis seperti SocialFi dan GameFi terbukti gagal) dapat memperlambat pertumbuhan basis pemegang BTC. 4. **Biaya Pendanaan Pembeli Utama:** Perusahaan pembeli BTC terbesar, Stratis, menghadapi kenaikan biaya pendanaan yang memberatkan, yang dapat mengurangi kecepatan pembeliannya dan memberi tekanan jual. 5. **Pesaing Baru untuk "Emas Digital":** Hadirnya "tokenized gold" (emas yang ditokenisasi) menawarkan keunggulan yang mirip dengan BTC (seperti dapat dibagi dan dipindahkan) sehingga menjadi pesaing serius. 6. **Masalah Anggaran Keamanan:** Imbalan miner yang terus berkurang pasca halving menimbulkan kekhawatiran tentang keamanan jaringan, sementara upaya mencari sumber fee baru seperti ordinals dan L2 dinilai gagal. Penulis menyatakan tetap memegang BTC sebagai aset besar dan terbuka untuk membeli kembali jika alasannya tidak lagi relevan atau muncul faktor positif baru, meski siap menerima jika harganya sudah terlalu tinggi untuk dibeli kembali.

marsbitKemarin 02:47

Menurunkan Ekspektasi untuk Bull Market Bitcoin Berikutnya

marsbitKemarin 02:47

Prediksi Pasar Tidak Dapat Terlepas dari Perdagangan Orang Dalam, Tapi Perdagangan Orang Dalam Sedang Membunuhnya

Sebuah pasar prediksi menghadapi dilema mendasar: mereka bergantung pada informasi orang dalam untuk menghasilkan harga yang akurat, tetapi aktivitas orang dalam justru dapat merusak kepercayaan investor ritel. Kasus terbaru melibatkan seorang tentara AS yang diduga menghasilkan $400.000 di Polymarket menggunakan informasi rahasia tentang operasi militer, menyoroti masalah perdagangan orang dalam yang sistemik. Platform seperti Polymarket dan Kalshi secara implisit mendorong partisipasi orang dalam untuk meningkatkan akurasi prediksi, namun juga memiliki kebijakan yang melarang perdagangan berdasarkan informasi non-publik. Kontradiksi ini menciptakan ketegangan antara efisiensi informasi dan persepsi keadilan. Jika terlalu longgar, investor ritel akan merasa dimanipulasi dan meninggalkan pasar. Jika terlalu ketat, pasar kehilangan sumber informasi paling berharga dan menjadi kurang akurat. Masa depan pasar prediksi tergantung pada kemampuan menemukan titik optimal: mempertahankan likuiditas dan kepercayaan ritel sambil tetap memberi insentif bagi informasi orang dalam yang terbatas. Tanpa keseimbangan ini, risiko kegagalan sistemik mengancam kelangsungan jangka panjangnya.

marsbitKemarin 02:38

Prediksi Pasar Tidak Dapat Terlepas dari Perdagangan Orang Dalam, Tapi Perdagangan Orang Dalam Sedang Membunuhnya

marsbitKemarin 02:38

Selat Hormuz, Bisakah Iran "Mengendalikannya"?

Menurut laporan media Iran, Iran telah menyusun rencana komprehensif untuk mengelola Selat Hormuz. Rencana ini mencakup klaim kedaulatan penuh atas selat tersebut, mewajibkan kapal asing memperoleh izin transit, menerapkan biaya transit (dengan preferensi pembayaran dalam rial), serta melarang mutus kapal-kapal dari negara musuh, khususnya Israel. Analis menilai langkah ini bertujuan untuk: 1. Menekan Amerika Serikat dan Israel secara ekonomi dan diplomatis dengan memanfaatkan pengaruh Iran atas jalur pelayaran vital ini. 2. Menciptakan sumber pendapatan baru yang signifikan (potensi mencapai miliaran dolar per tahun) untuk menghadapi sanksi dan mendanai rekonstruksi. 3. Memberikan ruang negosiasi dengan AS, dengan menjadikan izin transit untuk kapal AS sebagai alat tawar. Namun, implementasi rencana ini diragungkan karena beberapa hal: * Tantangan operasional dalam memberlakukan aturan di selat yang padat dan diawasi militer asing. * Protes internasional atas dasar hukum dan dampak ekonomi terhadap biaya transportasi global. * Tekanan balik dari AS, termasuk blokade terhadap pelabuhan Iran dan ancaman mencegat kapal yang membayar biaya transit. * Ketidakpastian apakah rencana ini benar-benar akan diterapkan atau hanya sekadar strategi negosiasi.

marsbitKemarin 01:32

Selat Hormuz, Bisakah Iran "Mengendalikannya"?

marsbitKemarin 01:32

Trading

Spot
Futures
活动图片