Die Kryptowährungszahlungs- und Geschenkkartenplattform Bitrefill hat die mit Nordkorea verbundene Hackergruppe Lazarus für einen Cyberangriff am 1. März 2026 verantwortlich gemacht, der Teile ihrer Infrastruktur und Kryptowährungs-Wallets kompromittierte.

Die Angreifer erlangten Zugriff auf Produktionsschlüssel, transferierten Gelder von Hot Wallets und legten 18.500 Kaufdatensätze offen, die E-Mails, Zahlungsadressen und IP-Adressen enthielten.

Etwa 1.000 Datensätze enthielten verschlüsselte Benutzernamen. Betroffene Benutzer wurden benachrichtigt. Der Betrieb wurde wieder aufgenommen, wobei das Unternehmen ankündigte, die Verluste aus dem Betriebskapital zu decken. Der Vorfall unterstreicht die Bedeutung von Wachsamkeit in Bezug auf Krypto- und On-Chain-Sicherheit.

Die Vorgehensweise umfasste Malware, On-Chain-Verfolgung sowie wiederverwendete IP- und E-Mail-Adressen und ähnelte früheren Angriffen, die Nordkoreas Lazarus-Gruppe, auch bekannt als Bluenoroff, zugeschrieben werden, sagte das Unternehmen in einem detaillierten Bericht auf X.

Die Lazarus-Gruppe hat zuvor Krypto-Projekte wie Ronin Network, Harmony's Horizon Bridge, WazirX und Atomic Wallet ins Visier genommen.

Wie sich der Angriff entwickelte

Alles begann mit einem kompromittierten Mitarbeiter-Laptop, der veraltete Anmeldedaten preisgab und es den Angreifern ermöglichte, auf die umfassendere Infrastruktur von Bitrefill zuzugreifen, einschließlich Teilen seiner Datenbank und Kryptowährungs-Wallets.

Der Einbruch wurde schnell offensichtlich, als das Unternehmen ungewöhnliche Kaufmuster bei bestimmten Lieferanten bemerkte, was darauf hindeutete, dass Angreifer sein Geschenkkarteninventar und seine Lieferketten ausnutzten. Das Unternehmen stellte auch fest, dass Angreifer einige Hot Wallets leerten und Gelder auf ihre eigenen Adressen verschoben, woraufhin das System offline genommen wurde, um den Schaden einzudämmen.

„Bitrefill betreibt ein globales E-Commerce-Geschäft mit Dutzenden von Lieferanten, Tausenden von Produkten und mehreren Zahlungsmethoden in vielen Ländern. All diese Dinge sicher abzuschalten und wieder online zu bringen ist nicht trivial", sagte das Unternehmen in einer Erklärung.

Seit dem Vorfall arbeitet Bitrefill mit Sicherheitsforschern, Incident-Response-Teams, On-Chain-Analysten und Strafverfolgungsbehörden zusammen, um den Einbruch zu untersuchen.

Auswirkungen auf Kundendaten

Hacker griffen auf eine kleine Anzahl von Kaufdatensätzen zu, etwa 18.500, die

Bitrefill sagte, es gebe keine Hinweise darauf, dass Kundendaten ein primäres Ziel waren. Die Protokolle deuten darauf hin, dass Angreifer eine begrenzte Anzahl von Abfragen durchführten, die auf Kryptowährungsbestände und Geschenkkarteninventar abzielten, anstatt die gesamte Datenbank zu extrahieren.

Die Plattform speichert minimale persönliche Daten und erfordert keine obligatorische KYC. Auf eine kleine Teilmenge von Kaufdatensätzen, etwa 18.500, wurde zugegriffen, die Informationen wie E-Mail-Adressen, Krypto-Zahlungsadressen und Metadaten einschließlich IP-Adressen enthielten. Etwa 1.000 Datensätze enthielten verschlüsselte Namen für bestimmte Produkte; das Unternehmen behandelt diese Daten als potenziell kompromittiert und hat betroffene Kunden direkt per E-Mail benachrichtigt.

Derzeit glaubt Bitrefill nicht, dass Kunden zusätzliche Maßnahmen ergreifen müssen, rät jedoch zur Vorsicht bei unerwarteten Mitteilungen im Zusammenhang mit Bitrefill oder Kryptowährung.

Schritte zur Stärkung der Sicherheit

Als Reaktion auf den Einbruch gab Bitrefill an, seine Cybersicherheitspraktiken bereits gestärkt zu haben und daran zu arbeiten, Lehren aus dem Vorfall zu ziehen.

Das Unternehmen skizzierte mehrere Maßnahmen, darunter die Durchführung umfassender Penetrationstests mit externen Experten, die Verschärfung interner Zugriffskontrollen, die Verbesserung von Protokollierung und Überwachung für eine schnellere Bedrohungserkennung sowie die Verfeinerung von Incident-Response-Verfahren und automatisierten Abschaltprotokollen.

Ausblick

Bitrefill räumte ein, dass dies der erste größere Angriff in mehr als einem Jahrzehnt Betrieb war, betonte jedoch, dass das Unternehmen gut finanziert und profitabel bleibt und in der Lage ist, operative Verluste aufzufangen. Die meisten Systeme, einschließlich Zahlungen, Lagerbestände und Konten, sind wieder online, wobei sich die Umsatzvolumina normalisieren.

„Von einem ausgeklügelten Angriff getroffen zu werden, ist wirklich schlimm", sagte das Unternehmen. „Aber wir haben überlebt. Wir werden weiterhin unser Bestes tun, um das Vertrauen unserer Kunden weiterhin zu verdienen."