2026-03-26 20:26:32

Bitrefill遭黑客攻击：174ETH via Tornado Cash被追踪

摘要

3月17日，Bitrefill披露其遭遇网络攻击，黑客通过员工设备入侵窃取凭证，盗取174ETH并经Tornado Cash混币。Beosin通过链上分析锁定三地址，成功穿透混币链路，追踪至TRON链41万USDT沉淀。

3月17日，加密礼品卡平台Bitrefill正式披露一起发生于3月1日的网络攻击事件。此次攻击手法与此前Lazarus Group / BlueNoroff针对加密资产行业公司的攻击方式存在诸多相似之处，引发行业高度关注。

攻击路径溯源：从员工设备到钱包权限

根据Bitrefill官方披露，攻击者最初通过入侵一名员工的笔记本电脑，获取了旧版系统凭证，进而突破内部安全防线，获得对核心钱包系统的访问权限。攻击者随即批量导出18,500条订单数据，包括用户邮箱、加密地址和IP信息，并伪造采购记录以消耗礼品卡库存，造成直接经济损失。

被盗资金流向追踪：穿透混币链路

Beosin安全团队结合威胁情报与链上交易数据，通过旗下区块链调查平台Beosin Trace对损失资金进行深入追踪，锁定三个疑似关联地址： - 0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763 - 0x3d79f9012a13fe7948daaee3b8e9118371450d69 - TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R

其中，地址0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763将174 ETH转入Tornado Cash。针对此类混币协议的资金追踪难度极高，但Beosin依托多起洗钱案件的实战经验，通过对充值与提取行为的时间序列、金额特征及操作模式进行交叉比对，运用自研智能追踪算法，成功实现对资金链路的穿透，定位到出金地址0x3d79f9012a13fe7948daaee3b8e9118371450d69。

该地址随后执行兑币跨链操作，将资金从ETH链转移至TRON链，并将179 ETH兑换为413,763.75 USDT。目前，最终沉淀地址TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R已持有575,212.91 USDT。