A plataforma de pagamentos em criptomoeda e cartões de oferta Bitrefill responsabilizou o grupo de hackers Lazarus ligado à Coreia do Norte por um ciberataque a 1 de março de 2026, que comprometeu partes da sua infraestrutura e carteiras de criptomoedas.

Os atacantes obtiveram acesso a chaves de produção, transferiram fundos de hot wallets e expuseram 18.500 registos de compras contendo emails, endereços de pagamento e endereços IP.

Aproximadamente 1.000 registos incluíam nomes de utilizador encriptados. Os utilizadores afetados foram notificados. As operações foram retomadas, com a empresa a anunciar que cobrirá as perdas a partir do capital operacional. O incidente sublinha a importância da vigilância relativamente à segurança cripto e on-chain.

O modus operandi incluiu malware, rastreamento on-chain e endereços IP e email reutilizados e foi semelhante a ataques anteriores atribuídos ao Grupo Lazarus da Coreia do Norte, também conhecido como Bluenoroff, afirmou a empresa num relatório detalhado no X.

O Grupo Lazarus já visou anteriormente projetos cripto incluindo Ronin Network, Harmony's Horizon Bridge, WazirX e Atomic Wallet.

Como o ataque se desenrolou

Tudo começou com um portátil de funcionário comprometido, que expôs credenciais antigas e permitiu aos atacantes aceder à infraestrutura mais ampla da Bitrefill, incluindo partes da sua base de dados e carteiras de criptomoedas.

A violação tornou-se rapidamente aparente quando a empresa notou padrões de compra incomuns entre certos fornecedores, sinalizando que os atacantes estavam a explorar o seu inventário de cartões de oferta e cadeias de fornecimento. A empresa também observou que os atacantes estavam a drenar algumas hot wallets e a mover fundos para os seus próprios endereços, após o que o sistema foi desligado para conter os danos.

"A Bitrefill opera um negócio de comércio eletrónico global com dezenas de fornecedores, milhares de produtos e múltiplos métodos de pagamento em muitos países. Desligar com segurança todas estas coisas e trazê-las novamente online não é trivial", afirmou a empresa num comunicado.

Desde o incidente, a Bitrefill tem trabalhado com investigadores de segurança, equipas de resposta a incidentes, analistas on-chain e autoridades policiais para investigar a violação.

Impacto nos dados dos clientes

Os hackers acederam a um pequeno conjunto de registos de compras, aproximadamente 18.500, contendo

A Bitrefill afirmou que não há evidências de que os dados dos clientes fossem um alvo primário. Os seus registos indicam que os atacantes executaram um número limitado de consultas direcionadas a participações em criptomoedas e inventário de cartões de oferta em vez de extrair a base de dados inteira.

A plataforma armazena dados pessoais mínimos e não requer KYC obrigatório. Um pequeno subconjunto de registos de compras, aproximadamente 18.500, foi acedido, contendo informações como endereços de email, endereços de pagamento cripto e metadados incluindo endereços IP. Cerca de 1.000 registos continham nomes encriptados para produtos específicos; a empresa está a tratar estes dados como potencialmente comprometidos e notificou diretamente os clientes afetados por email.

Atualmente, a Bitrefill não acredita que os clientes precisem de tomar qualquer ação adicional, embora aconselhe cautela relativamente a comunicações inesperadas relacionadas com a Bitrefill ou criptomoedas.

Passos para reforçar a segurança

Em resposta à violação, a Bitrefill afirmou que já reforçou as suas práticas de cibersegurança e está a trabalhar para retirar lições do incidente.

A empresa delineou várias medidas, incluindo a realização de testes de penetração abrangentes com especialistas externos, o reforço dos controlos de acesso interno, o aprimoramento do registo e monitorização para deteção mais rápida de ameaças, e o refinamento de procedimentos de resposta a incidentes e protocolos de encerramento automatizado.

Perspetivas futuras

A Bitrefill reconheceu que este foi o seu primeiro grande ataque em mais de uma década de operação, mas sublinhou que permanece bem financiada e lucrativa, capaz de absorver perdas operacionais. A maioria dos sistemas, incluindo pagamentos, stock e contas, estão novamente online, com volumes de vendas a regressar ao normal.

"Ser atingido por um ataque sofisticado é péssimo (muito)", afirmou a empresa. "Mas sobrevivemos. Continuaremos a fazer o nosso melhor para continuar a merecer a confiança dos nossos clientes."