Bitrefill, la popolare piattaforma per acquistare gift card, ricaricare telefoni e pagare bollette con bitcon, ha reso pubblico il 17 marzo 2026 un dettagliato rapporto sull’attacco informatico subito il 1° marzo.
L’azienda, attiva da oltre 10 anni e nota per la sua affidabilità nel settore crypto, ha confermato di essere stata vittima di un’incursione sofisticata, attribuendola con alta probabilità al gruppo Lazarus (anche noto come Bluenoroff), legato al governo della Corea del Nord.
Come è iniziato l’attacco
Secondo il report, l’accesso iniziale è avvenuto tramite il laptop compromesso di un dipendente.
Gli attaccanti hanno estratto una credenziale “legacy” (vecchia e non più in uso) che ha permesso loro di raggiungere un snapshot contenente segreti di produzione. Da lì hanno escalato i privilegi, arrivando a parti dell’infrastruttura, al database e ad alcuni wallet di criptovalute “hot” (online).
La scoperta è avvenuta quando il team ha notato pattern di acquisto sospetti presso alcuni fornitori: le scorte di gift card venivano sfruttate e, contemporaneamente, fondi venivano drenati dai wallet. Nel momento in cui il breach è stato identificato, Bitrefill ha spento immediatamente tutti i sistemi per contenere i danni – un’operazione complessa per un business globale con decine di fornitori, migliaia di prodotti e pagamenti in molteplici valute e Paesi.
Dati dei clienti coinvolti?
Bitrefill sottolinea che i clienti non erano il target principale. L’azienda è progettata per memorizzare pochissimi dati personali (non è un exchange e non richiede KYC obbligatorio). Tuttavia, i log mostrano che gli attaccanti hanno eseguito query limitate sul database.
Sono stati accessibili circa 18.500 record di acquisto, contenenti:
- indirizzi email
- indirizzi crypto di pagamento
- metadati come l’indirizzo IP
Per circa 1.000 acquisti (quelli che richiedevano un nome per prodotti specifici), i dati erano crittografati, ma poiché gli attaccanti potrebbero aver ottenuto anche le chiavi di crittografia, Bitrefill ha trattato queste informazioni come potenzialmente compromesse e ha già inviato email di notifica diretta ai clienti interessati.
L’azienda rassicura: non ci sono prove di estrazione completa del database, né di furto di dati KYC (custoditi da un provider esterno). Al momento non è necessario alcun'azione specifica da parte degli utenti, se non la solita prudenza contro email o comunicazioni sospette legate a Bitrefill o crypto. Se la valutazione cambierà, l’azienda promette di informare immediatamente gli interessati.
La risposta di Bitrefill e le misure adottate
Subito dopo l’incidente, il team ha collaborato con esperti di primo livello:
- ZeroShadow
- SEAL
- Recoveris
- Fearsoff
oltre ad analisti on-chain e forze dell’ordine. Grazie a questi partner, è stato possibile ricostruire l’attacco e confermare le somiglianze con precedenti operazioni di Lazarus (modus operandi, malware, tracciamento on-chain e indirizzi IP/email riutilizzati).
Sul fronte finanziario, Bitrefill ha assorbito tutte le perdite (drenaggio di wallet e gift card) con il proprio capitale operativo. L’azienda è redditizia da anni e rimane “ben finanziata”. Oggi quasi tutto è tornato alla normalità: pagamenti, scorte, account e volumi di vendita sono rientrati nei livelli pre-incidente.
Per prevenire futuri attacchi, Bitrefill ha già implementato miglioramenti significativi e ne annuncia altri:
- revisioni cybersecurity e penetration test con più esperti esterni
- rafforzamento dei controlli di accesso interni
- miglioramento di logging e monitoraggio per una rilevazione più rapida
- affinamento delle procedure di incident response e shutdown automatico
Un messaggio di resilienza
Nel report, Bitrefill non nasconde la frustrazione (“Getting hit by a sophisticated attack sucks – a lot”), ma sottolinea la propria filosofia di design: limitare al massimo l’impatto in caso di breach. Dopo oltre un decennio senza incidenti gravi, l’azienda esce rafforzata e ringrazia i clienti per la fiducia dimostrata.
“Continueremo a fare del nostro meglio per meritare la vostra fiducia”, conclude il comunicato.
L’incidente ricorda a tutto il settore crypto che nessuno – nemmeno una piattaforma consolidata e attenta alla sicurezza – è immune da attacchi di stato-nazione come quelli di Lazarus. La trasparenza con cui Bitrefill ha gestito la comunicazione è stata lodata dalla community, che ha apprezzato la rapidità e la completezza delle informazioni fornite.
Per aggiornamenti ufficiali, si consiglia di seguire il canale X @bitrefill e il sito ufficiale.