Cyber-Attacke auf Krypto-Dienstleister Bitrefill

Am 1. März 2026 ereignete sich ein Cyber-Attacke auf Bitrefill. Die Angreifer verschafften sich Zugang zur Unternehmensinfrastruktur über einen kompromittierten Laptop eines Mitarbeiters. Ähnlichkeiten des Tathergangs mit anderen Krypto-bezogenen Hacks lassen Bitrefill darauf schließen, dass die bekannte nordkoreanische Hacking-Gruppe Lazarus dahinterstecken könnte.

Der erste Zugriff erfolgte über einen kompromittierten Mitarbeiter-Laptop, von dem aus alte Zugangsdaten extrahiert wurden. Diese Zugangsdaten ermöglichten den Zugriff auf einen Snapshot, der Produktionsgeheimnisse enthielt. Von dort aus konnten die Angreifer ihre Zugriffsrechte auf unsere gesamte Infrastruktur ausweiten, einschließlich Teilen unserer Datenbank und bestimmter Krypto-Wallets.
^Bitrefill

Bitrefill ist überzeugt, dass es die Angreifer nicht auf Nutzerdaten abgesehen haben. Außerdem gebe es keine Evidenz, dass die „gesamte Datenbank“ abgegriffen wurde.

Aufgrund unserer Untersuchungen und unserer Protokolle haben wir keinen Grund zu der Annahme, dass Kundendaten das Ziel dieses Angriffs waren. Es gibt keine Hinweise darauf, dass sie unsere gesamte Datenbank extrahiert haben, sondern lediglich darauf, dass die Angreifer eine begrenzte Anzahl von Abfragen durchgeführt haben, die darauf hindeuten, dass sie ausloten wollten, was es zu stehlen gab, darunter Kryptowährungen und der Bestand an Bitrefill-Geschenkkarten.
^Bitrefill

Überdies sei Bitrefill so designt, dass nur sehr wenige persönliche Daten gespeichert werden. Die Nutzung im kleineren Rahmen ist nämlich ohne KYC möglich.

Kunden können dennoch ihren Account verifizieren – beispielsweise um größere Transaktionen vorzunehmen. Die Daten davon werden aber, so Bitrefill, extern und ohne Backup im eigenen System gespeichert.

Dennoch: Die Angreifer verschafften sich Zugang zu einem Teil der transaktionsbezogenen Daten, wie Bitrefill offenlegt. Kundeninformationen wie E-Mail- und Krypto-Adressen sowie IP-Adressen wurden dabei abgegriffen.

Die Angreifer verschafften sich Zugriff auf rund 18.500 Transaktionsdatensätze. Diese Datensätze enthielten begrenzte Kundeninformationen wie E-Mail-Adressen, Krypto-Zahlungsadressen und Metadaten einschließlich der IP-Adresse. 
^Bitrefill

Potenziell betroffene Kunden seien bereits per E-Mail informiert worden.

Bei etwa 1.000 Käufen mussten Kunden bei bestimmten Produkten ihren Namen angeben. Diese Informationen sind in unserer Datenbank verschlüsselt. Da die Angreifer jedoch möglicherweise Zugriff auf die Verschlüsselungs-Keys erlangt haben, behandeln wir diese Daten als potenziell offengelegt. Kunden, die davon betroffen sind, wurden bereits direkt per E-Mail benachrichtigt.
^Bitrefill

Bitrefill glaubt aber, dass es für die Nutzer keinen Handlungsbedarf geben würde. Nichtsdestotrotz empfiehlt der Dienstleister, besonders aufzupassen, falls Kunden hinsichtlich Bitrefill oder Kryptowährungen kontaktiert werden sollten.

Aufgrund der derzeit vorliegenden Informationen sind wir derzeit nicht der Ansicht, dass Kunden konkrete Maßnahmen ergreifen müssen. Als Vorsichtsmaßnahme empfehlen wir jedoch, bei unerwarteten Mitteilungen im Zusammenhang mit Bitrefill oder Kryptowährungen weiterhin Vorsicht walten zu lassen. Sollte sich diese Einschätzung ändern, werden wir die Betroffenen selbstverständlich umgehend informieren.
^Bitrefill

Die Vielzahl an erfolgreichen Cyber-Angriffen und Hacks auf Krypto-Dienstleister verdeutlicht, wie wichtig es ist, vorsichtig in dem Sektor unterwegs zu sein.

Unabhängig von dem Vorfall, bei dem keine Coins der Kunden abhandengekommen sind, ist die sichere Selbstverwahrung via Hardware-Wallet eine Option, die Privatpersonen vor Hacking-Angriffen schützt.

Krypto-Halter sollten zudem immer aufpassen, welche Daten sie wo preisgeben. Denn wenn Hacker von größeren Beständen einer Privatperson erfahren, macht es sie potenziell zu einem attraktiven Angriffsziel.

Wie Bitrefill erklärt, konnte im begrenzten Umfang auf Kundendaten zugegriffen werden. Die betroffenen Nutzer darüber zu informieren, ist ein wichtiger Schritt.

Noch wichtiger ist aber, Vorkehrungen zu treffen, dass sich so etwas nicht wiederholt. Laut dem Statement arbeitet das Unternehmen nun daran, sensible Daten maximal zu sichern.

Wir haben unsere Cybersicherheitsmaßnahmen bereits erheblich verbessert, versprechen jedoch, weiterhin aus diesen Erfahrungen zu lernen, um sicherzustellen, dass die Konten und Daten unserer Nutzer sowie unseres Unternehmens bestmöglich geschützt bleiben. Konkret werden wir:
-weiterhin gründliche Cybersicherheitsüberprüfungen und Penetrationstests mit mehreren externen Experten durchführen und die daraus resultierenden Empfehlungen umsetzen;
-die internen Zugriffskontrollen weiter verschärfen;
-die Protokollierung und Überwachung weiter verbessern, um Vorfälle schneller zu erkennen und effektiver darauf zu reagieren; und
-unsere Verfahren zur Reaktion auf Vorfälle sowie unsere automatisierten Abschaltprozeduren weiter verfeinern und testen.
^Bitrefill

Der Service wird derweil weiter fortgesetzt. „Fast alles läuft wieder wie gewohnt: Zahlungen, Lagerbestände, Konten. Auch die Verkaufszahlen haben sich wieder normalisiert, und wir sind unseren Kunden unendlich dankbar für euer anhaltendes Vertrauen in uns. Wir werden weiterhin unser Bestes geben, um euer Vertrauen auch in Zukunft zu rechtfertigen“, heißt es abschließend im Statement.