Das Bitrefill Datenleck vom 1. März wurde am 17. März offiziell bestätigt. Die Krypto-Zahlungsplattform macht die nordkoreanische Lazarus Group für den Angriff verantwortlich, bei dem Hot Wallets geleert und 18.500 Kaufdatensätze eingesehen wurden.

18.500 Kaufdatensätze mit E-Mails, Wallet-Adressen und IP-Daten eingesehen

Der Angriff begann über einen kompromittierten Mitarbeiter-Laptop, über den die Angreifer alte Login-Credentials stahlen und sich Zugang zu einer Momentaufnahme der Produktionsumgebung verschafften. Dort fanden sie Produktions-Secrets, mit denen sie sich schrittweise durch Bitrefills Infrastruktur bewegten.

Insgesamt wurden rund 18.500 Kaufdatensätze eingesehen, die E-Mail-Adressen, Krypto-Wallet-Adressen und Metadaten wie IP-Adressen enthielten. Bei etwa 1.000 Datensätzen waren zusätzlich verschlüsselte Kundennamen hinterlegt.

Bitrefill behandelt diese Daten als potenziell kompromittiert, weil die Angreifer möglicherweise auch die Verschlüsselungsschlüssel erlangt haben. Betroffene Kunden wurden per E-Mail benachrichtigt.

Dazu erklärte Bitrefill am 17. März auf X:

Am 1. März 2026 wurde Bitrefill Ziel eines Cyberangriffs. Basierend auf den während der Untersuchung beobachteten Hinweisen – darunter die Vorgehensweise, die verwendete Schadsoftware, die Rückverfolgung auf der Blockchain und wiederverwendete IP- sowie E-Mail-Adressen (!) – finden wir viele Übereinstimmungen zwischen diesem Angriff und früheren Cyberangriffen der nordkoreanischen Lazarus-/Bluenoroff-Gruppe gegen andere Unternehmen der Krypto-Branche.

Die Zuordnung zur Lazarus Group basiert auf mehreren Indikatoren, darunter die verwendete Malware, der Modus Operandi, On-Chain-Tracing der abgeflossenen Gelder sowie wiederverwendete IP- und E-Mail-Adressen, die aus früheren Angriffen der Gruppe bekannt sind.

Bitrefill Hot Wallet geleert und Gift-Card-System innerhalb von Stunden missbraucht

Nachdem die Angreifer die Produktions-Secrets erlangt hatten, griffen sie auf die Bitrefill Hot Wallet zu und transferierten Kryptowährungen auf externe Adressen. Gleichzeitig missbrauchten sie das Gift-Card-System der Plattform, um über die bestehende Lieferkette Werte abzuziehen.

Bitrefill bemerkte die ungewöhnlichen Aktivitäten, als sowohl das Gift-Card-System als auch die Hot Wallets gleichzeitig auffällige Transaktionen zeigten, und nahm daraufhin alle Systeme vom Netz. Die genaue Schadenshöhe hat das Unternehmen nicht veröffentlicht, bestätigt jedoch, dass sämtliche Verluste aus operativem Kapital gedeckt werden.

Dabei betonte Bitrefill, profitabel und ausreichend kapitalisiert zu sein, um den Vorfall finanziell vollständig zu absorbieren. An der forensischen Aufarbeitung sind die Security Alliance, zeroShadow, Blockchain-Analysten und Strafverfolgungsbehörden beteiligt.

Kein vollständiger Datenbank-Dump, Angreifer suchten gezielt nach Krypto-Guthaben

Trotz des Zugriffs auf interne Systeme kopierten die Angreifer nicht die gesamte Datenbank. Die internen Logs zeigen, dass nur eine begrenzte Anzahl an Abfragen ausgeführt wurde, die gezielt auf Kryptowährungs-Guthaben und Gift-Card-Inventar ausgerichtet waren. Kundendaten waren demnach kein primäres Ziel.

Dabei kommt Bitrefill zugute, dass die Plattform kaum persönliche Daten speichert und für die meisten Käufe kein KYC verlangt. Wo eine Identitätsprüfung erforderlich ist, liegen die Daten bei externen KYC-Anbietern, die vom Angriff nicht betroffen waren. Inzwischen sind alle Systeme wieder online, der Umsatz hat sich normalisiert, und Bitrefill hat seine Sicherheitsarchitektur überarbeitet.

Dazu gehören externe Penetrationstests, strengere Zugriffskontrollen, verbesserte Überwachungssysteme und schnellere Abschaltprotokolle. Der Vorfall ist der erste größere Sicherheitsbruch in über zehn Jahren Firmengeschichte.

Für die Lazarus Group ist er dagegen Routine. Allein 2025 stahl die Gruppe laut Schätzungen rund 2 Mrd. US-Dollar in Kryptowährungen, darunter 1,5 Mrd. US-Dollar beim Bybit-Hack.

Wir berichteten ausführlich über den Bybit-Hack und die Identifizierung der Lazarus Group als Urheber.