Die Krypto-Commerce-Plattform Bitrefill hat bestätigt, dass sie am 1. März 2026 einen erheblichen Cybersecurity-Verstoß erlitten hat, wobei die Angriffsmuster stark Operationen ähneln, die der Lazarus-Gruppe und ihrer angeschlossenen Einheit BlueNoroff zugeschrieben werden.

Das Unternehmen beschrieb den Vorfall in einer Erklärung vom 17. März auf X und legte dar, wie Angreifer in seine Systeme eindrangen, auf interne Daten zugriffen und Gelder aus Hot Wallets abzogen. Der Verstoß ist das schwerwiegendste Sicherheitsereignis in der mehr als zehnjährigen Betriebsgeschichte von Bitrefill.

Kompromittiertes Gerät öffnete den Zugang zur Infrastruktur

Der Eindringversuch begann mit einem kompromittierten Laptop eines Mitarbeiters. Laut Bitrefill extrahierten die Angreifer eine veraltete Zugangsinformation von diesem Gerät. Diese Zugangsdaten gewährten Zugriff auf eine Momentaufnahme, die Produktionsgeheimnisse enthielt. Die Angreifer erhöhten anschließend ihre Berechtigungen und bewegten sich lateral über die Infrastruktursysteme.

Die Angreifer erreichten Teile der Datenbank sowie bestimmte Kryptowallets. Das Unternehmen verwies auf mehrere Indikatoren, die bekannten Taktiken entsprechen. Dazu gehörten Malware-Signaturen, wiederverwendete IP- und E-Mail-Infrastruktur sowie On-Chain-Analyse-Muster.

„Wir finden viele Ähnlichkeiten zwischen diesem Angriff und früheren Cyberangriffen der DPRK Lazarus-/Bluenoroff-Gruppe auf andere Unternehmen in der Kryptoindustrie“, erklärte das Unternehmen.

Verdächtige Lieferantenaktivität deckte den Verstoß auf

Bitrefill entdeckte den Vorfall zunächst durch unregelmäßiges Kaufverhalten im Zusammenhang mit Lieferanten. Interne Überwachung zeigte, dass Geschenkartenbestände und Lieferkanäle ausgenutzt wurden.

Gleichzeitig identifizierte Bitrefill nicht autorisierte Transfers aus seinen Hot Wallets an von Angreifern kontrollierte Adressen. Sobald der Verstoß klar wurde, leitete das Unternehmen eine vollständige Abschaltung seiner Systeme als Teil seiner Eindämmungsstrategie ein.

Bitrefill ist in mehreren Ländern tätig und arbeitet mit zahlreichen Lieferanten und Zahlungsmethoden. Das Unternehmen stellte fest, dass das Herunterfahren und Wiederherstellen eines so verteilten Systems eine sorgfältige Koordination erforderte.

Begrenzter Datenzugriff bestätigt, keine vollständige Datenbankextraktion

Die Angreifer griffen auf etwa 18.500 Kaufdatensätze zu. Diese Datensätze enthielten begrenzte Kundeninformationen wie E-Mail-Adressen, Krypto-Zahlungsadressen und Metadaten einschließlich IP-Adressen.

Bitrefill erklärte, dass es keine Hinweise auf eine vollständige Extraktion der Datenbank gibt. Stattdessen zeigen Protokolle eine begrenzte Anzahl von Abfragen, die auf eine Sondierungstätigkeit hindeuten.

„Es gibt keine Hinweise darauf, dass sie unsere gesamte Datenbank extrahiert haben, sondern nur, dass die Angreifer eine begrenzte Anzahl von Abfragen durchgeführt haben, die mit einer Sondierung übereinstimmen, um zu verstehen, was es zu stehlen gab, einschließlich Kryptowährungen und Bitrefill-Geschenkkartenbeständen.“

Bei etwa 1.000 Käufen waren auch Kundennamen enthalten. Bitrefill verschlüsselt diese Daten. Da Angreifer jedoch möglicherweise Zugriff auf die Verschlüsselungsschlüssel hatten, behandelt das Unternehmen diese Teilmenge als potenziell kompromittiert. Betroffene Nutzer wurden bereits direkt benachrichtigt.

Bitrefill betonte, dass es bewusst nur minimale personenbezogene Daten speichert. Die Plattform verlangt kein verpflichtendes KYC. Verifizierte Nutzerdaten verbleiben bei externen Anbietern und nicht in internen Systemen.

Finanzielle Verluste werden aufgefangen, während sich der Betrieb stabilisiert

Bitrefill gab die genaue Höhe der gestohlenen Gelder nicht bekannt. Es bestätigte jedoch, dass alle Verluste aus dem operativen Kapital gedeckt werden.

„Fast alles ist wieder normal: Zahlungen, Bestand, Konten“, sagte Bitrefill. „Auch die Verkaufsvolumina sind wieder normal, und wir sind unseren Kunden für ihr anhaltendes Vertrauen in uns auf ewig dankbar.“

Das Unternehmen beschrieb den Angriff als finanziell motiviert. Es fand keine Hinweise darauf, dass Kundendaten das primäre Ziel waren.

Externe Experten und Strafverfolgungsbehörden beteiligen sich an der Reaktion

Nach dem Vorfall beauftragte Bitrefill mehrere Cybersecurity-Unternehmen und Organisationen, darunter zeroShadow, SEAL, Recoveris und FearsOff. Das Unternehmen kontaktierte zudem Strafverfolgungsbehörden.

Diese Teams unterstützten bei forensischer Analyse, Incident Response und Wiederherstellungsmaßnahmen. Bitrefill betonte, dass ihre schnelle Beteiligung entscheidend für die Eindämmung und Wiederherstellung der Systeme war.

Sicherheitsmaßnahmen nach dem Vorfall verschärft

Bitrefill hat seit dem Vorfall mehrere Sicherheitsverbesserungen implementiert. Dazu gehören erweiterte Penetrationstests, strengere interne Zugriffskontrollen und verbesserte Überwachungssysteme zur schnelleren Erkennung.

Bitrefill hat außerdem seine Incident-Response-Verfahren und automatisierten Abschaltmechanismen verfeinert. Das Unternehmen erklärte, dass es weiterhin aus dem Angriff lernen wird, um seine Abwehr zu stärken.

„Wir haben unsere Cybersecurity-Praktiken bereits erheblich verbessert, verpflichten uns jedoch, weiterhin aus dieser Erfahrung zu lernen, um sicherzustellen, dass Benutzer- und Unternehmensguthaben sowie Daten maximal sicher bleiben.“

Mit Lazarus verbundene Taktiken bleiben eine anhaltende Bedrohung

Der Angriff reiht sich in eine Serie hochkarätiger Vorfälle ein, die mit Lazarus-Operationen im Kryptosektor in Verbindung stehen. Die Gruppe hat zuvor Börsen und Plattformen mit groß angelegten Diebstählen ins Visier genommen, darunter ein 1,5-Milliarden-Dollar-Verstoß bei Bybit im Jahr 2025, wie HodlFM.DE berichtete.

Der Fall von Bitrefill spiegelt den anhaltenden Druck auf die Krypto-Infrastruktur wider, trotz stärkerer Sicherheitsstandards in der Branche. Die Angreifer nutzten kompromittierte Zugangsdaten und internen Zugriff anstelle direkter externer Exploits.

Bitrefill bezeichnete das Ereignis als große operative Herausforderung, bestätigte jedoch die Fortführung des Geschäfts.

„Von einem hochentwickelten Angriff getroffen zu werden, ist schlimm (sehr schlimm). Wir sind seit über 10 Jahren im Geschäft, und es ist das erste Mal, dass wir so hart getroffen wurden. Aber wir haben überlebt.“

Die Plattform bleibt betriebsbereit, finanziell stabil und konzentriert sich darauf, nach dem Vorfall das Vertrauen wieder aufzubauen.

SEC sagt, die meisten Krypto-Assets sind keine Wertpapiere | HODLFM.DE
SEC erklärt, dass die meisten Krypto-Assets keine Wertpapiere sind.
hodl-post-imageHODLFM.DE: Die wildeste Fahrt auf dem KryptomarktHODL Team
hodl-post-image

Haftungsausschluss: Alle Materialien auf dieser Seite dienen nur zu Informationszwecken. Keines der Materialien sollte als Anlageberatung interpretiert werden. Bitte beachten Sie, dass trotz der Art vieler Materialien, die auf dieser Website erstellt und gehostet werden, HODLFM.DE keine Finanzreferenzressource ist und die Meinungen von Autoren und anderen Mitwirkenden ihre eigenen sind und nicht als finanzielle Beratung aufgefasst werden sollten. Wenn Sie eine solche Beratung benötigen, empfiehlt HODLFM.DE dringend, sich an einen qualifizierten Fachmann der Branche zu wenden.