Bitrefill hack: violati wallet e dati di 18.500 utenti, cos'è successo?
Dietro l'hack di Bitrefill potrebbe esserci il Lazarus Group: piattaforma violata e dati di 18.500 sottratti, la società coprirà le perdite
Attacco hacker a Bitrefill
Il primo marzo 2026, la piattaforma Bitrefill, nota per consentire l’acquisto di Gift Card tramite pagamenti con criptovalute, è stata coinvolta in un attacco hacker, che ha compromesso parte della sua infrastruttura e alcuni portafogli crypto.
March 1st incident report
On March 1, 2026, Bitrefill was the target of a cyberattack. Based on indicators observed during the investigation – including the modus operandi, the malware used, on-chain tracing and reused IP + email addresses (!) – we find many similarities…
— Bitrefill (@bitrefill) March 17, 2026
In un post mortem condiviso sul profilo X della piattaforma, Bitrefill ha spiegato i dettagli dell’accaduto. L’accesso iniziale da parte degli attaccanti è avvenuto tramite il laptop di un dipendente compromesso, dal quale gli aggressori sono riusciti a ottenere credenziali legacy.
Una volta all’interno, gli aggressori hanno scalato rapidamente i privilegi, accedendo progressivamente a database e portafogli crypto. L’attività è stata individuata solo in un secondo momento, quando sono emersi comportamenti anomali nei processi di acquisto e nella gestione delle gift card.
In quel momento, infatti, gli attaccanti hanno ottenuto l’accesso ad alcuni hot wallet della piattaforma, prosciugando la liquidità presente all’interno. In risposta, la piattaforma ha immediatamente sospeso tutti i propri servizi, cercando di mitigare il più possibile le perdite, aggiungendo, che la società coprirà le perdite legate ai fondi sottratti.
Dati utenti: cosa è stato esposto?
Oltre ai fondi sottratti, l’attacco ha coinvolto anche una parte limitata dei dati degli utenti.
Secondo quanto dichiarato dalla società, gli hacker hanno avuto accesso a circa 18.500 record di acquisto, contenenti informazioni come indirizzi email, indirizzi di pagamento crypto e metadati, tra cui gli indirizzi IP.
Bitrefill ha precisato che non si tratta di un accesso completo al database, ma di query mirate effettuate dagli aggressori per identificare asset e flussi di valore. Inoltre, per circa 1.000 transazioni, potrebbero essere stati esposti anche nomi associati agli acquisti, sebbene memorizzati in forma criptata.
Non includendo verifiche tramite KYC, non sono stati sottratti dati sensibili degli utenti, limitando così l’attacco ai dati personali.
Non vi sono, inoltre, compromissioni ai wallet degli utenti. La piattaforma dopo qualche giorno di stop è tornata pienamente operativa e non risultano ulteriori compromissioni interne.
Questo e molti altri temi li trovi quotidianamente su Telegram e Youtube, seguici per essere sempre aggiornato!
