Bitrefill安全事件分析及被盗资金流向追踪

3月17日，Bitrefill正式披露了一次发生在3月1日的网络攻击，此次攻击手法与过往Lazarus Group / BlueNoroff针对其他加密资产行业公司的网络攻击有诸多相似之处。Beosin安全团队结合收集的威胁情报及Bitrefill公开的信息，对本次事件进行了攻击手法与资金追踪分析，并将结果分享如下：

攻击手法分析

据Bitrefill披露，本次攻击最初是通过入侵一名员工的笔记本电脑并从中窃取了旧版凭证，

钱包的访问权限：批量导出了 18,500 条订单数据，含用户邮箱、加密地址、IP；并伪造采购消耗礼品卡库存。

被盗资金追踪

结合威胁情报和链上交易数据，Beosin通过旗下区块链链上调查与追踪平台Beosin Trace对Bitrefill相关损失资金进行了详尽的资金追踪，并将结果分享如下：

目前，Beosin锁定了3个疑似 Bitrefill 黑客事件的地址：

0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763

0x3d79f9012a13fe7948daaee3b8e9118371450d69

TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R

其资金流向如下图所示：

被盗资金流向分析图 by Beosin Trace

其中地址0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763将174 ETH转入了Tornado Cash中。针对Tornado Cash这类混币协议的资金追踪难度，Beosin依托多起混币洗钱案件的溯源经验，通过对全量充值、提取数据的持续监测，从交易时序、金额特征、行为模式等多维度关联分析，使用自研智能追踪算法实现了对本次混币资金链路的穿透，锁定了其出金地址：0x3d79f9012a13fe7948daaee3b8e9118371450d69。

随后该地址通过兑币跨链从ETH链跨到TRON链，并将179 ETH兑换为413,763.75 USDT。目前该地址TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R共有575,212.91**** USDT****沉淀。

以上地址均已被Beosin KYT标记为高风险地址，以地址为例：

Beosin KYT