Bitrefill安全事件深度分析：攻击手法与被盗资金流向追踪

事件背景与披露

3月17日，Bitrefill正式披露了一起发生于3月1日的网络攻击事件。此次攻击手法与Lazarus Group / BlueNoroff针对加密资产行业的攻击模式存在诸多相似之处。Beosin安全团队结合威胁情报和公开信息，对事件进行了深入分析。

攻击手法分析

据Bitrefill披露，攻击者最初通过入侵一名员工的笔记本电脑窃取了旧版凭证，从而获得了钱包访问权限。随后，攻击者批量导出了18,500条订单数据（包括用户邮箱、加密地址和IP），并伪造采购消耗礼品卡库存。

更多详情可参考：https://x.com/bitrefill/status/2033931580352221656

被盗资金追踪

Beosin通过旗下区块链链上调查与追踪平台Beosin Trace，对Bitrefill相关损失资金进行了详尽的资金追踪，以下是主要发现：

目前，Beosin锁定了3个疑似与Bitrefill黑客事件相关的地址：

• 0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763
• 0x3d79f9012a13fe7948daaee3b8e9118371450d69
• TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R

其资金流向如下图所示：

被盗资金流向分析图 by Beosin Trace

Tornado Cash混币资金追踪

其中，地址0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763将174 ETH转入了Tornado Cash。针对混币协议的资金追踪难度较高，但Beosin依托多起混币洗钱案件的溯源经验，通过对全量充值、提取数据的持续监测，从交易时序、金额特征、行为模式等多维度关联分析，使用自研智能追踪算法实现了对本次混币资金链路的穿透，最终锁定了出金地址：0x3d79f9012a13fe7948daaee3b8e9118371450d69。

跨链兑换与资金沉淀

随后，该地址通过兑币跨链将ETH链上的资金转移到TRON链，并将179 ETH兑换为413,763.75 USDT。目前，地址TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R中共有575,212.91 USDT沉淀。

高风险地址标记

以上地址均已被Beosin KYT标记为高风险地址，以地址TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R为例：

Beosin KYT