Die Kryptowährungs-Plattform Bitrefill wurde am 1. März 2026 Opfer eines schwerwiegenden Cyberangriffs. Die nordkoreanische Hackergruppe Lazarus, auch bekannt als Bluenoroff, soll für den Vorfall verantwortlich sein, bei dem rund 18.500 Kaufdatensätze kompromittiert wurden.
Bitrefill gab am Dienstag eine detaillierte Analyse des Angriffs bekannt. Die Hacker verschafften sich Zugang, indem sie einen Mitarbeiter-Laptop kompromittierten und so an veraltete Anmeldeinformationen und Produktionsgeheimnisse gelangten. Dies ermöglichte ihnen die Ausweitung ihres Zugriffs auf die Bitrefill-Infrastruktur, einschließlich Teilen der Datenbank und bestimmter Kryptowährungs-Hot-Wallets. Von dort aus leiteten sie Kryptowährungen ab und nutzten die Geschenkkarten-Lieferketten des Unternehmens für betrügerische Käufe.
Die kompromittierten Kaufdatensätze umfassen E-Mail-Adressen, Krypto-Zahlungsadressen und Metadaten wie IP-Adressen. Bei etwa 1.000 Datensätzen handelt es sich um verschlüsselte Kundennamen, die als potenziell exponiert gelten. Bitrefill hat betroffene Nutzer direkt benachrichtigt. Das Unternehmen betont, dass nur minimale persönliche Daten gespeichert werden und die meisten Transaktionen keine KYC-Verifizierung erfordern. KYC-bezogene Informationen werden extern verwaltet und nicht bei Bitrefill gespeichert.
Es gibt keine Hinweise darauf, dass die gesamte Datenbank exfiltriert wurde oder dass Kundendaten das Hauptziel waren.
Die Zuordnung des Angriffs zur Lazarus-Gruppe basiert auf Ähnlichkeiten in der verwendeten Malware, der Wiederverwendung von Infrastruktur und den Mustern der On-Chain-Transaktionen. Nach der Entdeckung des Angriffs wurden die Systeme von Bitrefill vorübergehend offline genommen, um die Bedrohung einzudämmen. Die Website und die App waren am 5. März wieder vollständig funktionsfähig.
Bei der Untersuchung und Reaktion auf den Vorfall wurde Bitrefill von externen Cybersicherheitsexperten, On-Chain-Analysten und Strafverfolgungsbehörden unterstützt. Die genaue Höhe der finanziellen Verluste wurde nicht offengelegt, soll aber aus dem Betriebskapital des Unternehmens gedeckt werden.
