加密货币电商服务平台 Bitrefill 周二发布后记报告,正式指控朝鲜黑客组织在三 月 1 日发动了针对性网络攻击。该公司声称黑客窃取了约 18500 条购买记录,并导致部分加密货币钱包资金流失。此次事件凸显了加密货币基础设施面临的国家支持型威胁日益严峻。
根据 Bitrefill 发布的详细声明,被窃取的数据包含电子邮件地址、加密货币支付地址以及包含 IP 地址的元数据。攻击者属于所谓的 Lazarus 小组,该组织据信隶属于朝鲜人民军战略情报局。黑客不仅获取了用户信息,还成功访问了部分生产密钥和数据库。此类数据泄露可能导致严重的隐私风险,特别是针对加密货币用户的追踪。
入侵的源头始于一台被攻破的员工笔记本电脑,攻击者从中窃取了遗留凭证。该公司在声明中指出,初始访问源于被攻破的员工笔记本电脑,从中窃取凭证后访问了包含生产秘密的快照。Bitrefill 表示,攻击者随后能够提升权限,访问更广泛的数据库及加密货币钱包。
安全团队最初通过监测供应商处的可疑购买模式发现了异常,提示礼品卡库存和供应链遭到利用。系统在发现安全漏洞后被迫离线,直到三 月 5 日才恢复网站和应用程序的正常运行。此次中断导致公司不得不暂时停止部分服务以进行紧急修复。
声明未披露具体被盗金额,但确认部分公司加密货币钱包被清空,资金转移至黑客控制的钱包。Bitrefill 计划通过运营资本吸收损失,并未提及是否追回被盗资金。公司表示黑客主要针对加密货币和礼品卡库存进行了有限数量的查询。
基于战术、恶意软件、IP 地址及区块链活动,公司最终将事件归咎于与朝鲜 Lazarus 小组相关的黑客。执法部门和网络安全专家协助了调查过程,确认了攻击来源。这种归因方式依赖于技术指纹和链上追踪分析。
美国司法部去年曾称成功没收了超过 1500 万美元的被盗资金,这些资金源于 2023 年的四 次独立事件。追踪公司 Chainalysis 报告称,2024 年与朝鲜政府相关的黑客组织在 47 起事件中窃取了 13 亿美元加密货币。Chainalysis 还指出,超过 20 亿美元加密货币在去年被朝鲜黑客窃取。自 2022 年开始追踪以来,朝鲜方面已窃取价值 68 亿美元的加密货币。这一数据反映了朝鲜通过非法手段获取硬通货的持续努力。
这一事件并非孤例,南韩官员也曾指控朝鲜从加密平台 Upbit 窃取了价值 3000 万美元的加密货币。迪拜平台 Bybit 在 二 月遭遇了价值 15 亿美元的盗窃,大部分归因于朝鲜黑客。这些攻击通常侧重于窃取私钥或授予资产完全控制权的秘密。
联合国在 2024 年指出,过去五年内追踪到的数十起事件为朝鲜带来了约 30 亿美元的收入。随着加密货币在电商和日常支付中的普及,此类针对基础设施的攻击风险将持续存在。供应链中的薄弱环节往往成为攻击者首选的切入点,企业需加强管理。必须建立更完善的防御体系来抵御此类高级持续性威胁。
未来,随着数字资产使用率的增加,针对加密支付平台的攻击可能会变得更加频繁。Bitrefill 的案例表明,即使是小型平台也可能成为国家行为体的目标。行业监管者也可能因此推动更严格的安全标准出台,以保护用户资产安全。
