Nền tảng thanh toán Bitcoin(BTC) Bitrefill bị nghi Lazarus Group tấn công, lộ dữ liệu 18.500 giao dịch

Nền tảng thanh toán *Bitcoin(BTC)* là *Bitrefill* vừa xác nhận bị tấn công, dẫn tới thất thoát tài sản *tiền mã hóa*, với nghi ngờ lớn nhất đang hướng về nhóm tin tặc có liên hệ với Triều Tiên mang tên “Lazarus Group”. Phương thức xâm nhập và dấu vết để lại được cho là trùng khớp với nhiều vụ tấn công trước đây do nhóm này thực hiện.

Theo công bố điều tra của Bitrefill ngày 1 tháng 3 (giờ địa phương), công ty đã phát hiện nhiều “mẫu hình tấn công” liên quan tới Lazarus/BlueNoroff. Loại *mã độc* được sử dụng, cách thức truy vết *on-chain*, cùng việc tái sử dụng IP và email đều cho thấy mức độ tương đồng rất cao với các chiến dịch từng được ghi nhận trước đó.

“bình luận” Việc Bitrefill nhanh chóng gọi tên Lazarus cho thấy ngành *tiền mã hóa* ngày càng chủ động hơn trong việc chia sẻ thông tin và nhận diện các nhóm tấn công có tính lặp lại cao.

Bitrefill cho biết hành trình tấn công khởi đầu từ việc một chiếc laptop thuộc về nhân viên công ty bị xâm nhập. Từ thiết bị này, kẻ tấn công đánh cắp được các thông tin xác thực đã từng được sử dụng trước đó, qua đó mở đường truy cập vào các bản snapshot hệ thống vốn chứa nhiều bí mật vận hành nội bộ.

Sau khi chiếm được chỗ đứng ban đầu, tin tặc dần mở rộng quyền truy cập trong hệ thống, tiến sâu hơn vào một phần cơ sở dữ liệu và một số ví *tiền mã hóa*. Trong quá trình đó, đội ngũ Bitrefill phát hiện các “mẫu giao dịch bất thường” khi tồn kho và dòng chảy cung ứng của thẻ quà tặng bị sử dụng sai lệch so với thông thường. Đây chính là dấu hiệu đầu tiên giúp họ nhận ra hệ thống đang bị xâm nhập.

Bitrefill cũng xác nhận một phần tài sản đã bị rút khỏi các *ví nóng* và chuyển tới địa chỉ thuộc về kẻ tấn công. Ngay sau khi phát hiện, toàn bộ hệ thống đã được tạm dừng vận hành nhằm chặn đứng nguy cơ thiệt hại lan rộng.

Công ty cho hay, kể từ thời điểm đó, họ phối hợp chặt chẽ với chuyên gia an ninh mạng bên ngoài, các nhà phân tích *blockchain* và cơ quan điều tra để xử lý sự cố cũng như truy tìm dấu vết dòng tiền.

Về phía dữ liệu khách hàng, Bitrefill nhận định đây dường như không phải là mục tiêu chính. Phân tích log cho thấy kẻ tấn công chỉ truy vấn một phạm vi nhỏ trong cơ sở dữ liệu, chủ yếu ở mức “thăm dò khả năng trích xuất thông tin” thay vì sao chép hàng loạt.

Dù vậy, khoảng 18.500 bản ghi giao dịch mua sắm đã bị truy cập. Những bản ghi này bao gồm email, địa chỉ thanh toán *tiền mã hóa* và thông tin IP. Một số dữ liệu tên khách hàng vốn được mã hóa, nhưng Bitrefill vẫn coi đây là “nguy cơ tiềm ẩn bị lộ” trong trường hợp khóa giải mã có thể đã bị đánh cắp; khoảng 1.000 người dùng nằm trong diện nhạy cảm nhất đã nhận được thông báo trực tiếp.

Bitrefill hiện cho rằng người dùng chưa cần thực hiện bất kỳ hành động khẩn cấp nào, song vẫn khuyến cáo khách hàng cảnh giác tối đa với các “tin nhắn đáng ngờ” liên quan đến tài khoản *tiền mã hóa*, bao gồm email lừa đảo, yêu cầu xác minh ví hoặc đề nghị hoàn tiền bất thường.

Để củng cố phòng tuyến, Bitrefill triển khai loạt biện pháp tăng cường bảo mật như siết chặt kiểm soát quyền truy cập, nâng cấp hệ thống giám sát, mở rộng phạm vi kiểm thử xâm nhập. Thiệt hại tài chính từ vụ việc dự kiến sẽ được công ty bù đắp bằng nguồn vốn vận hành nội bộ chứ không đổ sang người dùng.

“bình luận” Vụ việc cho thấy rủi ro từ thiết bị cá nhân của nhân viên – điểm yếu thường bị xem nhẹ – vẫn là một trong các cửa ngõ tấn công phổ biến nhất vào các dịch vụ *Bitcoin(BTC)* và *tiền mã hóa* nói chung.

Mặc dù tiêu chuẩn an ninh trong ngành *tiền mã hóa* liên tục được nâng cấp, Lazarus vẫn là mối đe dọa lớn nhất đối với các sàn giao dịch và nền tảng lưu trữ tài sản số. Theo nhiều báo cáo, nhóm này đã thực hiện hàng loạt vụ tấn công quy mô lớn, trong đó có vụ đột nhập sàn Bybit vào tháng 2 năm 2025 với số tiền bị đánh cắp ước tính lên tới 1,4 tỷ USD, được xem là một trong những vụ hack kỷ lục trong lịch sử ngành.

Nhà phân tích on-chain ZachXBT cho rằng, ở nhiều vụ việc lớn liên quan tới các sàn như Bybit, DMM Bitcoin hay WazirX, khâu rửa tiền sau tấn công diễn ra “tương đối trơn tru”. Ông nhận định tình hình hiện tại cho thấy “các mạng lưới chuyên rửa tiền đang vượt trội so với khả năng trấn áp của cơ quan chức năng”.

Trong bối cảnh đó, vụ tấn công Bitrefill đang được nhận định là một ví dụ điển hình cho chiến lược “xâm nhập nhiều tầng, chờ thời điểm rồi rút tài sản” mà Lazarus thường xuyên áp dụng. Thay vì tấn công trực diện vào ví lạnh hay hệ thống chính, nhóm này kiên nhẫn tận dụng các điểm yếu nhỏ, leo thang dần quyền truy cập rồi mới tiến hành đánh cắp *Bitcoin(BTC)* và các loại *tiền mã hóa* khác.

“bình luận” Vụ Bitrefill là lời nhắc nhở mới rằng bảo mật *tiền mã hóa* không chỉ nằm ở công nghệ ví hay hợp đồng thông minh, mà còn phụ thuộc nặng nề vào kỷ luật an ninh nội bộ, từ thiết bị nhân viên cho đến quy trình quản lý quyền truy cập.

Ngành *tiền mã hóa* tiếp tục đứng trước bài toán khó: vừa mở rộng dịch vụ thanh toán và đầu tư trên toàn cầu, vừa phải gia cố phòng tuyến trước những nhóm tin tặc tinh vi như Lazarus. Với việc Bitrefill và nhiều nền tảng khác trở thành nạn nhân, nhu cầu nâng cấp an ninh chủ động – từ kiểm thử xâm nhập thường xuyên, huấn luyện nhân sự đến giám sát *on-chain* thời gian thực – ngày càng trở thành yêu cầu bắt buộc nếu muốn bảo vệ tài sản *Bitcoin(BTC)* và *tiền mã hóa* cho người dùng trong dài hạn.