A plataforma de e-commerce de criptomoedas Bitrefill revelou que sofreu um ciberataque no início deste mês, resultando no roubo de fundos e na exposição limitada de dados de clientes. O incidente, que começou em 1º de março, teve origem em um laptop de um funcionário comprometido, conforme relatado pela empresa. Os atacantes conseguiram extrair credenciais antigas associadas a sistemas de produção, permitindo que escalassem o acesso pela infraestrutura da Bitrefill, incluindo partes de seu banco de dados interno e algumas carteiras quentes de criptomoedas.

Durante o ataque, os criminosos drenaram uma quantia não divulgada de fundos de suas carteiras quentes e exploraram os sistemas de inventário de cartões-presente para realizar compras suspeitas com fornecedores. Embora a empresa não tenha especificado o impacto financeiro total, afirmou que irá absorver as perdas utilizando capital operacional. A intrusão foi detectada inicialmente por meio de padrões de compra irregulares e anomalias na atividade dos fornecedores. Em resposta, a Bitrefill tomou a decisão de desligar temporariamente seus sistemas para conter a violação em suas operações globais.

Os serviços, incluindo pagamentos e acesso a contas, foram restabelecidos para níveis normais após a contenção do ataque. Aproximadamente 18.500 registros de compras foram acessados durante o ataque, e os dados expostos incluem endereços de e-mail, endereços de pagamento em criptomoeda e metadados, como endereços IP. Cerca de 1.000 desses registros continham nomes de clientes criptografados, que estão sendo tratados como potencialmente expostos devido à possibilidade de que os atacantes tenham acessado as chaves de criptografia. A Bitrefill informou que notificou diretamente os usuários afetados.

Apesar da violação, a empresa enfatizou que armazena informações pessoais mínimas e não exige a verificação obrigatória de conhecimento do cliente (KYC) para a maioria das transações. Qualquer informação relacionada ao KYC é tratada por provedores externos e não é armazenada nos sistemas da Bitrefill. A empresa também destacou que não há evidências de que seu banco de dados completo tenha sido exfiltrado ou que os dados dos clientes fossem o principal alvo do ataque. “Com base em nossa investigação e nos registros, não temos razões para pensar que os dados dos clientes eram o objetivo”, afirmou a empresa, observando que os atacantes pareciam realizar consultas limitadas, consistentes com a busca por ativos valiosos, como holdings de criptomoedas e inventário de cartões-presente.

A Bitrefill citou vários indicadores que ligam o ataque ao Grupo Lazarus, incluindo semelhanças em malware, infraestrutura reutilizada, como endereços IP e contas de e-mail, e padrões de transações em cadeia. O grupo, frequentemente associado à Coreia do Norte, tem sido vinculado a alguns dos maiores roubos de criptomoedas nos últimos anos por meio de seu subgrupo especializado, Bluenoroff. Empresas de segurança cibernética, como zeroShadow, SEAL911 e RecoverisTeam, auxiliaram na resposta e investigação, juntamente com analistas de blockchain e autoridades policiais.

Como parte de suas medidas de resposta, a Bitrefill está implementando medidas de segurança adicionais, incluindo a ampliação de sistemas de monitoramento e controles internos, para prevenir incidentes semelhantes no futuro. O ataque destaca as preocupações contínuas em torno das ameaças cibernéticas patrocinadas por estados no setor de ativos digitais. De acordo com a empresa de análise de blockchain Chainalysis, grupos ligados à Coreia do Norte foram responsáveis por mais de 2 bilhões de dólares em roubos de criptomoedas em 2025, representando uma parte significativa da atividade ilícita total no espaço.

Após o incidente, a Bitrefill afirmou que suas operações se estabilizaram e expressou confiança em sua recuperação, observando que a atividade dos clientes e os volumes de vendas retornaram aos níveis típicos. O ataque ao Bitrefill não apenas ressalta a vulnerabilidade das plataformas de criptomoedas às ameaças cibernéticas, mas também a necessidade de vigilância constante e medidas de segurança robustas para proteger ativos e informações dos usuários.