Bitrefill xác nhận một cuộc tấn công mạng ngày 01/03/2026 khiến hot wallet bị rút tiền và một phần dữ liệu giao dịch người dùng bị truy cập.
Sự cố được phát hiện khi xuất hiện mô hình mua hàng bất thường liên quan mạng lưới nhà cung cấp, đồng thời xảy ra các giao dịch chuyển tiền trái phép. Bitrefill đã đưa hệ thống offline ngay lập tức để khoanh vùng, điều tra và khôi phục vận hành.
- Tấn công bắt nguồn từ laptop nhân viên bị xâm nhập, dẫn tới lộ thông tin xác thực cũ và leo thang đặc quyền.
- Kẻ tấn công vừa khai thác kênh cung ứng thẻ quà tặng, vừa rút tiền từ hot wallet sang địa chỉ do chúng kiểm soát.
- Khoảng 18.500 bản ghi mua hàng bị truy cập; Bitrefill ghi nhận dấu hiệu tương đồng chiến thuật Lazarus/Bluenoroff nhưng chưa khẳng định quy kết.
Bitrefill xác nhận bị tấn công mạng ngày 01/03/2026
Bitrefill cho biết kẻ tấn công đã rút tiền khỏi hot wallet và truy cập một phần hạ tầng nội bộ; sự cố được phát hiện qua hành vi mua hàng bất thường và các lệnh chuyển tiền trái phép.
Trong thông báo, Bitrefill nêu cuộc điều tra nội bộ cho thấy kẻ tấn công đã can thiệp đồng thời vào luồng thương mại điện tử (mua thẻ quà tặng) và hạ tầng crypto, gây gián đoạn vận hành. Công ty phản ứng bằng cách đưa hệ thống offline để cô lập, sau đó phối hợp với đơn vị an ninh mạng bên ngoài, chuyên gia phân tích on-chain và cơ quan thực thi pháp luật.
Bitrefill không công bố tổng giá trị tài sản bị thất thoát. Tuy vậy, công ty xác nhận tác động xảy ra ở cả số dư ví nóng và hoạt động thương mại điện tử, cho thấy rủi ro kép: vừa là thất thoát tài sản, vừa là lạm dụng kênh cung ứng.
Điểm xâm nhập bắt đầu từ laptop nhân viên bị chiếm quyền
Bitrefill cho biết cuộc xâm nhập bắt nguồn từ laptop nhân viên bị compromise, từ đó kẻ tấn công trích xuất một thông tin xác thực đời cũ và dùng để mở rộng quyền truy cập.
Theo Bitrefill, thông tin xác thực bị lộ đã mở đường cho kẻ tấn công truy cập một “snapshot” chứa các bí mật môi trường production. Bằng cách này, chúng có thể leo thang đặc quyền và mở rộng phạm vi sang các phần khác của hạ tầng.
Sau khi có thêm quyền, kẻ tấn công truy cập các hệ thống nội bộ, một số phân đoạn cơ sở dữ liệu và một phần ví tiền điện tử. Chuỗi hành động này dẫn tới việc dịch chuyển tài sản ra khỏi ví nóng và gây gián đoạn vận hành.
Bitrefill đã công bố diễn biến chính trên kênh X của hãng tại thông báo chính thức của Bitrefill.
Kẻ tấn công khai thác kênh cung ứng và rút tiền khỏi hot wallet
Bitrefill xác nhận kẻ tấn công lợi dụng cả hệ thống tồn kho thẻ quà tặng lẫn hạ tầng crypto, vừa lạm dụng nguồn cung vừa rút tiền từ hot wallet sang địa chỉ do chúng kiểm soát.
Công ty mô tả hai tín hiệu bất thường trùng thời điểm: (1) hoạt động mua hàng đáng ngờ cho thấy các tuyến cung ứng đang bị lạm dụng, và (2) hot wallet bị rút và chuyển tới các địa chỉ thuộc quyền kiểm soát của kẻ tấn công. Cách phối hợp này cho thấy mục tiêu không chỉ là gây gián đoạn, mà còn tối đa hóa khả năng chiếm đoạt trong thời gian ngắn.
Do không có số liệu thất thoát được công khai, người dùng và đối tác cần dựa vào các thông tin xác nhận: ví nóng bị ảnh hưởng và dịch vụ thương mại điện tử bị tác động trong quá trình khắc phục. Bitrefill cho biết phần lớn dịch vụ đã trở lại bình thường sau khi xử lý.
Khoảng 18.500 bản ghi mua hàng bị truy cập, mức lộ dữ liệu được giới hạn
Log cơ sở dữ liệu cho thấy khoảng 18.500 bản ghi mua hàng bị truy cập; dữ liệu gồm email, địa chỉ thanh toán crypto và metadata như địa chỉ IP, còn khoảng 1.000 giao dịch có kèm tên khách hàng.
Bitrefill cho biết dữ liệu bị truy cập bao gồm:
- Địa chỉ thanh toán tiền điện tử
- Metadata như địa chỉ IP
Với khoảng 1.000 lượt mua, dữ liệu có chứa tên khách hàng. Bitrefill cho biết nhóm dữ liệu này được mã hóa, nhưng do kẻ tấn công có khả năng đã truy cập khóa mã hóa, công ty đang xử lý theo hướng “có thể đã bị lộ”. Các người dùng thuộc nhóm này đã được thông báo.
Bitrefill nhấn mạnh chưa có bằng chứng cho thấy toàn bộ cơ sở dữ liệu bị trích xuất. Theo công ty, các truy vấn được quan sát có vẻ giới hạn và mang tính thăm dò, phù hợp với kịch bản tìm kiếm bề mặt tấn công hơn là sao chép hàng loạt.
Cuộc điều tra ghi nhận dấu hiệu tương đồng với Lazarus/Bluenoroff nhưng chưa quy kết
Bitrefill cho biết phân tích malware, truy vết on-chain và hạ tầng bị tái sử dụng (IP, email) cho thấy nhiều điểm giống với chiến thuật của Lazarus Group và đơn vị liên quan Bluenoroff, nhưng công ty không khẳng định chắc chắn.
Trong kết luận sơ bộ, Bitrefill nêu các “điểm chồng lấn” về modus operandi và bộ công cụ là dấu hiệu đáng chú ý, vì Lazarus/Bluenoroff thường bị gắn với các chiến dịch nhắm vào công ty crypto. Tuy nhiên, Bitrefill giữ thái độ thận trọng trong quy kết vì sự tương đồng về chiến thuật không luôn đủ để kết luận tác nhân.
Hệ thống dần phục hồi và các biện pháp tăng cường bảo mật đã được triển khai
Sau sự cố, Bitrefill phối hợp các đơn vị an ninh mạng và cơ quan chức năng để khôi phục; hầu hết dịch vụ, gồm thanh toán và nguồn hàng, đã trở lại bình thường, đồng thời công ty tăng cường nhiều lớp kiểm soát.
Bitrefill cho biết công ty vẫn ổn định về tài chính và sẽ hấp thụ thiệt hại từ vốn vận hành. Về phòng thủ sau sự cố, Bitrefill nêu các hạng mục đã triển khai:
- Tăng cường kiểm soát truy cập
- Mở rộng giám sát và logging
- Bổ sung audit bảo mật và kiểm thử xâm nhập (penetration testing)
Công ty cũng nhấn mạnh dữ liệu khách hàng không phải mục tiêu chính. Dựa trên các phát hiện hiện tại, người dùng không cần thực hiện hành động cụ thể ngoài việc cảnh giác trước các liên hệ đáng ngờ (phishing, giả mạo hỗ trợ, email bất thường).
Những câu hỏi thường gặp
Bitrefill bị tấn công vào thời điểm nào?
Bitrefill công bố chi tiết về vụ tấn công mạng xảy ra ngày 01/03/2026, sau khi phát hiện hành vi mua hàng bất thường và các giao dịch chuyển tiền trái phép từ ví.
Vì sao kẻ tấn công có thể xâm nhập hệ thống Bitrefill?
Theo Bitrefill, điểm khởi đầu là laptop một nhân viên bị compromise, làm lộ một thông tin xác thực cũ. Thông tin này dẫn tới việc truy cập snapshot chứa bí mật production và giúp kẻ tấn công leo thang đặc quyền.
Bitrefill có công bố số tiền bị mất từ hot wallet không?
Không. Bitrefill xác nhận hot wallet bị rút và tiền được chuyển tới địa chỉ do kẻ tấn công kiểm soát, nhưng công ty không công bố tổng giá trị tài sản bị thất thoát.
Dữ liệu người dùng nào đã bị truy cập trong vụ việc?
Bitrefill cho biết khoảng 18.500 bản ghi mua hàng bị truy cập, gồm email, địa chỉ thanh toán crypto và metadata như địa chỉ IP. Khoảng 1.000 giao dịch có kèm tên khách hàng; dữ liệu dạng này được mã hóa nhưng có thể đã bị lộ nếu khóa mã hóa bị truy cập.
Có phải Lazarus Group đứng sau vụ tấn công Bitrefill không?
Bitrefill cho biết cuộc điều tra phát hiện nhiều điểm tương đồng với chiến thuật Lazarus Group và Bluenoroff dựa trên phân tích malware, truy vết on-chain và hạ tầng tái sử dụng, nhưng công ty chưa quy kết chắc chắn.
Người dùng Bitrefill có cần làm gì ngay không?
Bitrefill nói rằng người dùng không cần thực hiện hành động cụ thể ngoài việc cảnh giác trước liên lạc đáng ngờ. Nhóm người dùng thuộc danh mục có khả năng lộ dữ liệu nhạy hơn đã được công ty thông báo.
